Géolocalisation et applications mobiles : quelles règles pour protéger les données des utilisateurs ?
07 juillet 2026
La est devenue un outil central des applications mobiles. Mais sa collecte et sa réutilisation soulèvent des enjeux majeurs de protection des données personnelles. La CNIL rappelle les règles applicables et les droits des personnes pour protéger leur vie privée.
La géolocalisation est aujourd’hui largement utilisée par les applications mobiles. Elle permet de proposer des services essentiels comme la navigation et les services de mobilité, la météo localisée ou encore certaines fonctionnalités de sécurité. Mais au-delà de ces usages fonctionnels, la constitue également un levier économique important pour monétiser de nombreuses applications.
Ces derniers mois, plusieurs enquêtes menées par des médias français et internationaux ont mis en lumière la circulation massive de données de géolocalisation issues des applications mobiles et leur exploitation dans l’écosystème publicitaire. Elles ont notamment révélé l’existence de bases de données regroupant des millions d’identifiants publicitaires associés à des historiques de localisation, collectés via des applications très utilisées du quotidien (services de mobilité, jeux, applications de rencontres, etc.) dont la légalité pose question au regard de la règlementation. Ces données, ensuite revendues par des courtiers spécialisés, permettent de reconstituer des trajectoires de déplacement avec une précision parfois très fine, sans que les utilisateurs en aient pleinement conscience, en violation avec la règlementation relative à la protection des données.
Ces constats rejoignent les constats des autorités de protection des données, dont la CNIL, et la nécessité de mieux encadrer les flux de données issus des applications mobiles.
Dans ce contexte, et suite de la publication de la recommandation sur les applications mobiles, la CNIL rappelle les règles applicables à la collecte et à l’exploitation de ces données. Elle met également à disposition des personnes concernées une fiche pratique pour les aider à contrôler leurs données et exercer leurs droits.
Qu’est-ce que la géolocalisation ?
La géolocalisation est une technologie qui permet de déterminer la position d’un objet (un téléphone, par exemple) et le plus souvent donc de son utilisateur à un instant donné ou de manière continue avec plus ou moins de précision. La technologie s’appuie généralement sur le système GPS ou sur les interfaces de communication d’un téléphone mobile (adresses IP, scan Wi-Fi ou Bluetooth).
Ces données constituent généralement des données personnelles dès lors qu’elles permettent d’identifier directement ou indirectement une personne. Leur caractère souvent continu et précis en fait des données particulièrement sensibles au regard de la vie privée.
Quels sont les enjeux pour la vie privée des utilisateurs ?
Les déplacements : des informations personnelles et sensibles
Les déplacements des personnes en disent long sur elles. Ils révèlent leurs habitudes (domicile, lieu de travail, sorties), mais aussi leurs centres d’intérêt, leurs fréquentations et parfois même leurs convictions ou autres données sensibles (fréquentations de lieux de cultes, locaux d’un syndicat ou d’une association, séjour dans un hôpital, etc.). Ces données peuvent être exploitées à leur insu, y compris de manière malveillante.
Des données qui permettent parfois de réidentifier les personnes
Contrairement à une idée reçue, il n'est pas toujours nécessaire de connaître le nom d'une personne pour l'identifier. Quelques points de localisation suffisent souvent à reconnaître un individu, notamment lorsqu'ils révèlent son domicile, son lieu de travail ou ses habitudes de déplacement.
Même lorsque les données sont présentées comme « anonymes » ou associées à un simple identifiant technique, elles peuvent parfois être croisées avec d'autres informations et permettre de retrouver l'identité d'une personne. Plus les données de géolocalisation sont précises et collectées sur une longue période, plus ce risque de réidentification s’avère important.
La géolocalisation : une ressource économique convoitée
Les données de géolocalisation ne sont pas toujours utilisées uniquement pour fournir le service demandé. Elles peuvent également servir à personnaliser les contenus ou cibler la publicité.
Dans certains cas, notamment pour les applications dites « gratuites », ces données peuvent constituer une source de revenus. Elles peuvent être partagées avec des partenaires publicitaires ou utilisées pour enrichir des profils marketing.
Les enquêtes récentes sur les courtiers en données ont ainsi mis en évidence l'existence d'un marché de la donnée de géolocalisation, souvent méconnu des utilisateurs.
Ainsi, compte tenu de la sensibilité des données de géolocalisation et des risques associés à leur utilisation, les acteurs doivent veiller à respecter les règles applicables en matière de protection des données. Cette conformité est également un élément essentiel pour instaurer et maintenir la confiance des utilisateurs dans leurs services.
Quel cadre juridique pour le traitement de ces données ?
Les données de géolocalisation constituent des données personnelles lorsqu'elles permettent d'identifier directement ou indirectement une personne.
Leur traitement est notamment encadré par le règlement général sur la protection des données (RGPD) ainsi que les règles applicables à la protection de la vie privée dans les communications électroniques (article 82 de la loi Informatique et Libertés, Code des postes et des communications électroniques). Les acteurs doivent donc respecter l’ensemble des principes issus de ces textes, notamment en matière de licéité (c’est-à-dire par le choix d’une base légale adaptée), de transparence, de des données, de sécurité et de respect des droits des personnes.
Ces obligations s’imposent à l’ensemble des acteurs qui interviennent dans la chaîne de traitement des données de géolocalisation, qu’il s’agisse de l’éditeur de l’application ou des tiers auxquels ces données sont transmises, par exemple des partenaires publicitaires (régies marketing, courtiers en données, etc.). Chacun doit respecter le cadre juridique applicable pour les traitements qu’il met en œuvre, en fonction de son rôle et de ses responsabilités au regard du RGPD.
Informer clairement les utilisateurs
Les personnes doivent être clairement informées : elles doivent comprendre quelles données sont collectées, pourquoi elles le sont (les objectifs du traitement de données), qui les reçoit (les destinataires ou catégories de destinataires des données), combien de temps elles sont conservées (la durée de conservation) et quels sont leurs droits.
Cette information doit toujours être accessible, compréhensible et être présentée au bon moment au sein de l’application.
Recueillir un consentement lorsque la géolocalisation n'est pas nécessaire au service
Le recueil d’un consentement libre, spécifique, éclairé et univoque est nécessaire pour collecter et utiliser les données de géolocalisation lorsque celles-ci ne sont pas strictement nécessaires pour faire fonctionner l’application / le service. C’est le cas, notamment, de l’usage publicitaire de ces données ou la revente à des fins marketing.
Le consentement ne sera en revanche pas nécessaire lorsque ces données sont strictement nécessaires au service demandé.
Attention
Le recueil du consentement ne dispense pas du respect des autres principes du RGPD, notamment la des données et la limitation de la durée de conservation (voir ci-dessous). Même en présence d’un consentement, les acteurs ne peuvent pas collecter une plus précise que nécessaire ni conserver des historiques de déplacements sur une longue durée à des fins de ciblage ou de revente.
Le rôle des systèmes d’exploitation dans l’accès à la
Les systèmes d’exploitation mobiles encadrent l’accès des applications aux données de géolocalisation.
Ils exigent qu’une application demande l’autorisation de l’utilisateur avant tout accès à la localisation (aussi appelées les permissions). Les personnes peuvent généralement :
- accepter ou refuser l’accès à la localisation ;
- choisir entre une localisation précise ou approximative ;
- limiter l’accès à l’usage de l’application ou l’autoriser en arrière-plan ;
- modifier ou retirer ces autorisations à tout moment.
Ces mécanismes constituent une première protection importante. Ils ne dispensent toutefois pas, en principe, les acteurs du respect du RGPD et des règles relatives à la vie privée : l’autorisation technique donnée par le système d’exploitation ne vaut pas, à elle seule, consentement pour les usages des données de localisation, notamment à des fins publicitaires ou de partage avec des tiers.
Limiter la collecte au strict nécessaire
Vous ne devez collecter que les données personnelles qui sont adéquates, pertinentes et nécessaires au regard des objectifs que vous avez fixé pour l’utilisation de ces données.
Choisir le niveau de géolocalisation adapté à chaque usage
Les acteurs doivent déterminer le niveau de précision réellement nécessaire. À titre de bonne pratique, l’éditeur peut proposer à l’utilisateur de saisir manuellement un code postal ou une adresse au lieu du traitement de la donnée de localisation.
Limiter les transmissions et privilégier le traitement local
La CNIL recommande de traiter les données directement sur le terminal lorsque cela est techniquement possible.
Ne pas collecter en permanence
La collecte en arrière-plan doit être limitée aux situations où elle est réellement nécessaire.
Définir une durée de conservation adaptée
Les données de localisation ne doivent pas être conservées plus longtemps que nécessaire.
Permettre aux utilisateurs de garder le contrôle de leurs données
Les utilisateurs doivent pouvoir conserver la maîtrise de leurs données de géolocalisation tout au long de leur traitement. Les acteurs doivent ainsi permettre aux personnes d'exercer facilement leurs droits prévus par le RGPD, notamment le droit d'accès afin de savoir quelles données de géolocalisation sont détenues et comment elles sont utilisées, le droit à l'effacement, le droit d'opposition ou le droit de retirer son consentement lorsque le traitement repose sur celui-ci.
Lorsque les données de localisation ne sont plus nécessaires au fonctionnement du service ou lorsque l'utilisateur retire son consentement, celui-ci doit pouvoir demander leur suppression simplement.
Que risquez-vous en cas de manquement à ces règles ?
En cas de manquement aux règles précédentes, par exemple, si vous n’informez pas clairement les personnes ou si vous ne respectez pas la durée de conservation des données ou leur sécurité, ou encore si vous ne permettez pas aux personnes d’exercer leurs droits sur leurs données (consentement préalable lorsqu’il est nécessaire, droit d’accès, de rectification, retrait du consentement, etc.), la CNIL peut contrôler la façon dont vous collectez et utilisez les données. Ces contrôles peuvent être réalisés de sa propre initiative ou faire suite à une plainte d’utilisateurs.
En cas de manquement avéré, la CNIL peut mobiliser sa chaîne répressive et prononcer une sanction ou d’autres mesures correctrices.