C’est ainsi que la CNIL a, dans le cadre d’un communiqué du 15 octobre 2010, posait la problématique du service Facebook Places.
La CNIL a, par exemple, jugé la notification des tags de photos qui envoie une notification à l’utilisateur lorsqu’un ami le « tag » dans un lieu, insuffisant, dans la mesure où l’autorisation des personnes devrait être systématiquement demandée avant qu’elles ne soient taguées.
De même, la CNIL rappelle à cette occasion qu’en application de la loi Informatique et Libertés, l’utilisateur doit avoir été informé de la mise en place d’un système de publicité ciblée et y avoir expressément consenti [1].
A cette occasion, la CNIL rappelle que les applications de géolocalisation sur mobile, entraînent le risque de partager trop d’informations sur soi et prend l’exemple du site anglais pleaserobme.com, qui recense les maisons vides à partir de tweet de types « parti de chez moi, suit au Starbuck », localisé via le service « foursquare » [2].
Ainsi, la CNIL préconise la mise en œuvre des bonnes pratiques suivantes :
Si un identifiant unique est attribué au téléphone, celui-ci doit être aléatoire et conservé 24 heures au maximum,
Le consentement des personnes est exigé,
Cet identifiant unique ne doit pas pouvoir être associé à un autre identifiant propre à l’utilisateur ou au téléphone.
Les personnes doivent être informées de manière transparente des finalités du traitement et de données collectées, ainsi que de leurs droits.
L’information doit préciser très clairement les données collectées par téléphone, celles transmises au gestionnaire de base cartographique, anonymes ou non et celles susceptibles d’être transmises à des tiers.
L’utilisateur doit pouvoir supprimer les données de localisation qui le concernent, qu’elles soient stockées sur son téléphone, détenues par le gestionnaire de base cartographique ou par toute autre application tierce [3].
Ces recommandations ont notamment été adoptées par le groupe de l’article 29 [4].
L’article 6.3 de cette communication rappelle que le consentement préalable de l’utilisateur est nécessaire, le consentement en question doit être spécifique et ne peut être obtenu, s’agissant de publicité ciblée, par des conditions générales type.
Le Groupe 29 rappelle également que le service de géolocalisation ne doit pas être mis en service par défaut.
Il recommande que le consentement soit renouvelé chaque année.
Il recommande également que les utilisateurs puissent facilement mettre en œuvre leur droit d’opposition sans conséquence négative sur l’utilisation du service.
Des démarches spécifiques doivent être mises en place, s’agissant de géolocalisation de salariés ou d’enfants.
Il rappelle également que, s’agissant de la cartographie des points d’accès WIFI ou des adresses MAC, l’usage de ces informations ne doit pas faire obstacle au droit pour l’utilisateur de s’opposer à cette collecte.
Le Groupe 29 rappelle également que l’information communiquée au sujet des services de géolocalisation, doit être accessible à tout moment, facilement et que la validité du consentement est inextricablement liée à la qualité de l’information sur le service.
Il rappelle enfin, l’importance de faire respecter cette disposition par les parties tiers telles que les navigateurs ou les réseaux sociaux.
La durée recommandée pour le stockage de l’adresse MAC est de 24 heures.
A ce titre, s’agissant de la création de base cartographie de point d’accès WIFI, la CNIL recommande qu’un tel traitement soit déclaré à la CNIL, dans la mesure où les moyens de traitement, tels que les téléphones mobiles ou les véhicules situés sur le territoire français, font appel à des moyens situés sur le territoire français.
La CNIL recommande également que les possesseurs de point d’accès WIFI soient informés de leurs droits sur un site dédié par exemple, que les possesseurs de point d’accès WIFI puissent disposer d’un droit d’opposition à la collecte d’informations relatives à leur point d’accès WIFI et que la conservation des données de localisation associé à un point d’accès WIFI ne dépasse pas 5 ans.
Compte-tenu des difficultés à informer préalablement les possesseurs de ces points d’accès, elle considère que l’information individuelle préalable des possesseurs des points d’accès WIFI n’est pas exigée Communiqué CNIL du 05/05/2011 [5] .
Dans ce contexte, la CNIL a analysé les communications d’un iPhone contenant des informations de géolocalisation.
Elle a, à ce titre, constaté que la solution retenue par Apple était différente de celle des autres opérateurs, puisque c’est le téléphone lui-même qui calcule sa propre position à l’aide des informations fournies par Apple.
En effet, l’iPhone envoie à Apple des informations sur les points d’accès WIFI qu’il a vu dans les heures ou les jours précédents.
Ces points d’accès WIFI sont identifiés par leur adresse MAC, associés à la force du signal mesuré et à la position géographique (GPS du téléphone au moment de la mesure).
Les analyses réalisées par les experts de la CNIL indiquent que les communications entre un iPhone et Apple ne contiennent pas d’identifiant unique ou autre information permettant d’identifier le téléphone.
Dans le cadre de ses bonnes pratiques, la CNIL a fait part de l’aboutissement de discussions avec Microsoft qui a déclaré son traitement à la CNIL et qui a prévu d’informer les possesseurs des points d’accès WIFI à partir d’un site Internet dédié, ces derniers disposeront d’un moyen technique leur permettant d’exercer leur droit d’opposition par l’intermédiaire de ce site. De plus, l’identifiant unique du Smartphone ne devrait plus être conservé [6].
Ce choix technique rend cette collecte, en principe, anonyme et élimine donc le risque de traçage des personnes.
Néanmoins, la CNIL considère qu’Apple devrait informer clairement ses utilisateurs sur ce type de traitement [7].
Dans ce cadre, il convient de noter la volonté de la CNIL de proposer à l’avenir la labellisation de différentes technologies d’une part et d’autre part, elle se réserve la possibilité de recourir à l’ensemble des pouvoirs que lui a conféré le législateur sur cette question de la géolocalisation.
Elle envisage, ainsi, de contrôler et de sanctionner les sociétés qui porteraient atteinte à la vie privée des possesseurs de smartphones [8].
Enfin, elle poursuit ses efforts de sensibilisation et, notamment, auprès des enseignants et des collégiens [9].
Enfin, il convient de préciser qu’en matière d’injonction judiciaire, les tribunaux ont également la possibilité de demander aux fournisseurs d’accès Internet, de bloquer une URL, comme en témoigne la récente affaire judiciaire relative au site copwatch qui mettait en cause, à la fois les propos injurieux et diffamatoires et des violations aux dispositions de la loi de 1978 [10].