Géolocalisation : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

La géolocalisation désigne, en droit de la protection des données, l'ensemble des techniques permettant de déterminer la position géographique d'une personne ou d'un objet en temps réel ou en différé.

La géolocalisation désigne, en droit de la protection des données, l'ensemble des techniques permettant de déterminer la position géographique d'une personne ou d'un objet en temps réel ou en différé. Cette catégorie regroupe les technologies GPS (Global Positioning System), les bornes wifi, les antennes-relais des opérateurs de communications électroniques, le Bluetooth et la NFC pour les positionnements de proximité, ainsi que les adresses IP pour les estimations de localisation imprécises.

L'enjeu juridique de la géolocalisation est central pour les acteurs économiques exploitant ces technologies (opérateurs télécoms, fournisseurs d'applications mobiles, employeurs, plateformes de mobilité, services de livraison). Les données de localisation constituent des données à caractère personnel au sens du RGPD lorsqu'elles permettent l'identification d'une personne physique, et leur traitement est soumis à des exigences strictes en raison de leur caractère particulièrement intrusif pour la vie privée.

Le considérant 30 du RGPD reconnaît expressément les identifiants de localisation comme des éléments susceptibles de caractériser des données personnelles. La pratique des contrôles CNIL retient une interprétation large : toute donnée de localisation associée à un identifiant individuel (numéro de téléphone, identifiant publicitaire, identifiant matériel d'un appareil) constitue une donnée personnelle soumise au règlement, indépendamment du caractère ponctuel ou continu du tracking.

Vous souhaitez sécuriser vos opérations de géolocalisation ? Le Cabinet Aurore Bonavia accompagne la mise en conformité des dispositifs de géolocalisation. → Voir l'accompagnement en droit du numérique

Les bases légales applicables à la géolocalisation

Les bases légales invocables pour le traitement des données de géolocalisation varient selon les finalités :

  • pour la fourniture d'un service de localisation demandé par l'utilisateur (navigation GPS, livraison à domicile, recherche de point de vente le plus proche), la base contractuelle (article 6 paragraphe 1 b du RGPD) est généralement applicable ;
  • pour les finalités publicitaires (ciblage géographique, retargeting basé sur la position), la base du consentement (article 6 paragraphe 1 a) est requise, particulièrement à la lumière de l'article 82 de la loi Informatique et Libertés sur les cookies et traceurs ;
  • pour la lutte contre la fraude ou la sécurité informatique, les intérêts légitimes (article 6 paragraphe 1 f) peuvent être mobilisés sous réserve d'une analyse de mise en balance documentée ;
  • pour la conservation imposée par la loi des données de localisation par les opérateurs de communications électroniques, la base de l'obligation légale (article 6 paragraphe 1 c) s'applique, dans le cadre encadré par la jurisprudence La Quadrature du Net ;
  • pour la géolocalisation des salariés dans un cadre professionnel, les intérêts légitimes de l'employeur peuvent être invoqués sous réserve du strict respect des conditions de proportionnalité.

L'EDPB a publié plusieurs lignes directrices sur les données de localisation (notamment sur l'application aux outils anti-Covid-19 en 2020), qui guident l'analyse des cas d'usage. La pratique impose une analyse fine, finalité par finalité, des bases légales mobilisables.

La géolocalisation des salariés

La géolocalisation des salariés via les véhicules d'entreprise, les téléphones professionnels ou les outils de mobilité constitue l'une des applications les plus encadrées du droit français. La CNIL a publié plusieurs délibérations et recommandations consolidées dans une norme simplifiée dédiée (NS-051 puis intégrée au référentiel sur la géolocalisation des véhicules).

Les finalités légitimes de la géolocalisation des salariés sont limitativement énumérées :

  • le suivi et la facturation d'une prestation auprès des clients ;
  • la sécurité du salarié, du véhicule ou des marchandises transportées ;
  • l'optimisation des déplacements (optimisation des tournées, planification des interventions) ;
  • le respect des règles d'utilisation du véhicule (limitation des usages personnels excessifs) ;
  • la lutte contre le vol des véhicules ou des marchandises.

Les finalités illicites explicitement écartées par la CNIL incluent :

  • le contrôle permanent des déplacements du salarié ;
  • la surveillance des temps de pause ou des temps de repos hors mission ;
  • l'évaluation de la performance individuelle du salarié sur la base des données de localisation ;
  • le contrôle des respects des limitations de vitesse (sauf finalité spécifique de sécurité).

Plusieurs garanties doivent être mises en œuvre :

  • la désactivation de la géolocalisation pendant les temps de pause et hors temps de travail ;
  • l'information préalable du salarié dans le contrat de travail ou par avenant explicite ;
  • la consultation du CSE au titre de l'article L2312-38 du Code du travail ;
  • la limitation de la durée de conservation des données (généralement 2 mois maximum, sauf incident à constater) ;
  • la proportionnalité du dispositif au regard de la finalité poursuivie.

L'arrêt Cass. soc. 19 novembre 2014 (n° 13-19.380) a sanctionné un dispositif de géolocalisation déployé sans information adéquate des salariés, en considérant que les preuves obtenues étaient illicites et non recevables dans la procédure prud'homale.

La géolocalisation par les applications mobiles

Les applications mobiles constituent un terrain particulièrement sensible de la géolocalisation. La CNIL a publié en 2020 et révisé depuis ses recommandations sur les cookies et traceurs, qui incluent les identifiants de géolocalisation. Plusieurs principes structurent la pratique :

  • le consentement doit être recueilli préalablement à toute collecte de données de localisation à des fins publicitaires ou de mesure d'audience non strictement nécessaire ;
  • l'information doit être claire sur les finalités de la collecte, les destinataires et les durées de conservation ;
  • la possibilité de refus doit être aussi simple que celle d'acceptation ;
  • les paramètres des systèmes d'exploitation (iOS, Android) doivent être respectés : si l'utilisateur a refusé la géolocalisation au niveau du système, l'application ne peut pas la contourner.

Les plateformes Apple et Google ont renforcé les exigences applicables aux applications hébergées sur leurs stores (App Tracking Transparency d'Apple depuis iOS 14.5, Privacy Sandbox de Google). Ces évolutions techniques imposent aux éditeurs d'applications une transparence renforcée et une gestion granulaire des consentements.

L'arrêt CJUE Planet49 du 1er octobre 2019 (C-673/17) a confirmé l'invalidité du consentement préalablement coché pour les cookies publicitaires, et son raisonnement s'étend aux identifiants de géolocalisation utilisés à des fins commerciales.

La conservation des données de localisation par les opérateurs

Les opérateurs de communications électroniques sont soumis à des obligations spécifiques de conservation des données de localisation. L'article L34-1 du Code des postes et des communications électroniques organise un régime de conservation pour les besoins de la lutte contre la criminalité grave et de la prévention des menaces à la sécurité nationale.

L'arrêt CJUE La Quadrature du Net du 6 octobre 2020 (C-511/18, C-512/18 et C-520/18) a fortement restreint ce régime en jugeant que la conservation généralisée et indifférenciée des données de localisation à des fins de lutte contre la criminalité grave est en principe contraire au droit de l'Union, sauf circonstances exceptionnelles. Cette jurisprudence a imposé une révision du droit français.

Le Conseil d'État a tiré les conséquences de cette jurisprudence dans un arrêt du 21 avril 2021 (French Data Network) en validant partiellement le maintien de la conservation des données de localisation, sous réserve de garanties strictes (limitation aux menaces graves, contrôle judiciaire, durée proportionnée). Cette articulation continue d'évoluer au gré des décisions ultérieures et des adaptations législatives.

Spécificité juridique sur la géolocalisation et la santé publique

La pandémie de Covid-19 a fait émerger des applications de géolocalisation à finalité sanitaire (TousAntiCovid en France, équivalents européens), qui ont posé des questions juridiques structurantes :

  • le consentement explicite des utilisateurs comme base légale principale ;
  • la minimisation rigoureuse des données collectées (proximité Bluetooth plutôt que géolocalisation absolue) ;
  • la décentralisation du traitement (modèle DP-3T privilégié sur le modèle centralisé initial) ;
  • la limitation temporelle de la conservation des données ;
  • la transparence sur les finalités sanitaires et l'absence d'usage à d'autres fins.

L'EDPB a publié plusieurs lignes directrices spécifiques sur ces dispositifs, qui ont guidé la conception conforme au RGPD des applications nationales. La fin de l'usage généralisé de ces applications post-pandémie a conduit à la suppression des données collectées et à la décommission des infrastructures associées.

L'expérience Covid-19 a structuré une doctrine applicable aux situations de crise sanitaire futures, qui devra concilier protection des données et impératifs de santé publique. Les enjeux de proportionnalité et de temporalité des dispositifs constituent les principaux points de vigilance pour les déploiements ultérieurs.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de géolocalisation

  • l'analyse juridique des projets de géolocalisation au regard du RGPD ;
  • la rédaction des bases légales et des mentions d'information adaptées ;
  • la mise en conformité des dispositifs de géolocalisation des salariés ;
  • la rédaction des analyses d'impact (AIPD) pour les traitements à risque élevé ;
  • l'accompagnement des projets d'applications mobiles intégrant la géolocalisation ;
  • la conformité aux exigences sectorielles (transports, livraison, mobilité, santé) ;
  • la défense face aux contrôles CNIL portant sur les dispositifs de géolocalisation ;
  • la gestion des demandes d'accès aux données de localisation par les autorités judiciaires ;
  • la formation des équipes RH, IT et juridiques aux enjeux de la géolocalisation.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.1, art. 6, art. 9, considérant 30, Code des postes et des communications électroniques (art. L34-1), Code du travail (art. L1121-1, L1222-4, L2312-38), loi n° 78-17 du 6 janvier 1978 modifiée, jurisprudence CJUE 6 octobre 2020 (La Quadrature du Net C-511/18 et autres), 1er octobre 2019 (Planet49 C-673/17), Cass. soc. 19 novembre 2014 (n° 13-19.380), Conseil d'État 21 avril 2021 (French Data Network), CNIL référentiel sur la géolocalisation des véhicules, EDPB Lignes directrices sur les données de localisation. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.