Géolocalisation et collecte d'informations issues des points d'accès wi-fi : les règles à respecter pour protéger la vie privée

Lu sur le site de la CNIL, le 05/05/2011

Les informations issues de points d’accès WiFi sont utilisées pour fournir des services de géolocalisation. Ces données sont des données à caractère personnel. Leur collecte et leur utilisation sont donc soumises à la loi "informatique et libertés". La CNIL a récemment dégagé des bonnes pratiques afin de protéger la liberté d’aller et venir anonymement des possesseurs de Smartphones

Les points d’accès WiFi, qui équipent la plupart des "box Internet", émettent en permanence des signaux permettant à des ordinateurs ou à des téléphones mobiles de les reconnaître et de s’y connecter. Ces signaux contiennent souvent un identifiant de réseau appelé SSID, qui peut être choisi par le fabricant du point d’accès ou personnalisé par l’utilisateur. Ces signaux contiennent également un numéro appelé BSSID qui identifie chaque point d’accès de manière unique. Cette caractéristique peut être utilisée pour créer un service de géolocation pour les téléphones mobiles de dernière génération (les smartphones). Pour cela il faut disposer d’une carte qui recense la position de chaque point d’accès WiFi identifié par son BSSID. Ensuite, lorsque le téléphone mobile détecte un ou plusieurs points d’accès WiFi à proximité, il suffit de consulter cette carte pour en déduire par comparaison sa position. Cette méthode de géolocalisation présente l’avantage de fonctionner avec des téléphones ne disposant pas de GPS ou lorsque le signal GPS n’est pas disponible, notamment à l’intérieur d’un bâtiment.

Pour fournir des services de géolocalisation, plusieurs sociétés telles que Google, Skyhook Wireless, Microsoft et Apple ont donc constitué des bases cartographiques recensant les points d’accès WiFi. Ces bases ont été créées de deux manières complémentaires :

  • à partir de données WiFi collectées par des véhicules se déplaçant dans les rues des villes et sur les principaux axes routiers ;
  • à partir des données transmises par les téléphones mobiles eux-mêmes lorsqu’ils demandent à être géolocalisés.

La CNIL rappelle que l’association de données permettant d’identifier un point d’accès WiFi avec des données de géolocalisation est de nature à permettre l’identification d’une personne indirectement ou directement (par exemple lorsque son nom apparait dans le SSID). Il s'agit dont d'une donnée à caractère personnel au sens de la loi...

Lire la suite de cet article sur le site de la CNIL.