Les médias se sont fait l’écho récemment de l’enregistrement par Apple et Google de nombreuses données de géolocalisation. Comme le relève Jean-Marc Manach, peu de médias ont mis en parallèle ces informations avec les autres données personnelles contenues dans un téléphone portable comme les contacts, les SMS échangés, les sites web visités ou encore les requêtes effectuées sur les moteurs de recherche, autant d’informations sensibles.
La décision rendue par la CNIL (Commission nationale française de l’informatique et des libertés) le 17 mars 2011 et le rapport du 7 janvier 2011 du Préposé suisse à la protection des données et à la transparence (PFPDT) concernant la récolte de données transitant par les réseaux sans fil de particuliers au moyen des véhicules déployés par Google le laissait déjà présager. Vu la concurrence que se livrent les différents intervenant dans ce domaine et la valeur de ces données, il n’est pas surprenant que d’autres fassent de même. Apple a d’ailleurs apporté rapidement une modification logicielle à ses téléphones, mais la société de Cupertino n’a pas pour autant renoncé à collecter ces données.
De tels enregistrements portent une atteinte considérable à la sphère privée du détenteur du téléphone, atteinte qui ne pourrait être justifiée que par le consentement de l’utilisateur. Cela n’est pourtant pas une révélation et je suis convaincu que les préposés à la protection des données, les organisations de défense de la sphère privée et toute personne un peu curieuse de ce qu’elle fait de son téléphone portable le savait ou pouvait s’en douter. Plutôt que de jouer aux personnes faussement étonnées de ces « révélations », nous allons voir qui d’autre peut enregistrer de telles données.
1. Les données enregistrées par l’appareil
C’est la révélation des derniers jours. O’reilly Radar, repris par le Guardian et le Wall Street Journal ont démontré que l’Iphone enregistre une longue liste de positions géographiques avec la date et l’heure, et synchronise ensuite ses données sans protection avec un ordinateur. Ces mêmes journaux ont ensuite rapporté que les téléphones android gardent aussi les données de localisation des utilisateurs. Les auditions en cours devant le une commission judiciaire du congrès américain ont également révélé que les téléphones Microsoft enregistraient aussi des données de localisation.
Ces données peuvent être transmises à un ordinateur lors d’une synchronisation ou au fabricant du système d’exploitation du téléphone ou du téléphone.
2. Les données enregistrées par l’opérateur téléphonique
Certaines données sont enregistrées pour des questions de facturation, de marketing ou de contrôle de qualité. Si les données sont conservées plus longtemps que ce qui est nécessaire pour assurer le bon fonctionnement du service téléphonique et la facturation courante, ou qu’elles sont utilisées dans un but qui n’est pas reconnaissable par l’utilisateur, l’accord de celui-ci sera nécessaire. Techniquement, les opérateurs téléphoniques ont la possibilité de collecter facilement des données comme les numéros composés et reçus, l’heure, la date, le lieu et la durée de ces communications, la durée de la sonnerie, la raison de la fin de la communication, les éventuelles déviations d’appel, les services activés, l’utilisation d’une boîte vocale et les données relatives à sa consultation, les déplacements effectués, etc.
3. Les données enregistrées par l’opérateur téléphonique (bis)
Les prestataires de services de télécommunications peuvent aussi être obligés de conserver certaines données pour le cas d’éventuelles enquêtes pénales. Actuellement en Suisse la Loi fédérale du 6 octobre 2000 sur la surveillance de la correspondance par poste et télécommunication (LSCPT) prévoit un délai de conservation de 6 mois. Un projet est actuellement dans les tiroirs et prévoit d’allonger ce délai à 12 mois. L’accès à ces données est limité au cadre d’une enquête pénale et après autorisations du tribunal des mesures de contrainte qui vérifie qu’un certain nombre de conditions précises sont remplies. Le politicien vert Allemand Malte Spitz a mis ses propres données de localisation en ligne ce qui permet de s’en faire une idée.
La Commission européenne a rendu le 18 avril dernier un rapport d’évaluation concernant la directive sur la conservation des données. Actuellement trois pays européens (Allemagne, Roumanie et République tchèque) considèrent que la conservation ce ces données est contraire à la constitution car elle revient à effectuer une surveillance systématique des citoyens (sans avoir le moindre soupçon).
4. Les données transmises par des applications
Un grand nombre d’applications, développées par le fabricant de l’appareil téléphonique ou même un tiers, demandent la position géographique de l’utilisateur ainsi que d’autres informations, et cela le plus souvent sans nécessité.
5. Les données transmises par les ondes
Beaucoup d’appareils téléphoniques sont équipées de différents moyens de connexion (wifi, Bluetooth, etc). Il est relativement aisé de localiser et authentifier les appareils proches. Ces données peuvent être collectées du seul fait d’être «à proximité».
Pour aller plus loin
Le Groupe de travail article 29 (un organe consultatif européen indépendant institué par l’article 29 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) a publié le lendemain de la publication de cet article une opinion 13/2011 sur les services de géolocalisation sur les téléphones et autres appareils mobiles qui peut être consultée à l’adresse http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf (en anglais uniquement).