SMARTPHONES ET VIE PRIVEE
/ Octobre 2022 /
Ces dernières années le monde de la téléphonie a connu une forte évolution, c’est ainsi que sont apparus les smartphones qualifiés de téléphones intelligents. Ces appareils permettent de télécharger de nombreuses applications pour démultiplier les facultés des Smartphones. Cependant, le Smartphone bien que pratique présente des risques pour la vie privée des personnes et la protection de leurs données personnelles.
Un smartphone, ou « téléphone intelligent » est un téléphone mobile disposant des capacités d’un téléphone portable habituel, mais aussi des fonctions d'un assistant numérique personnel. Il peut aussi fournir les fonctionnalités d'agenda, de calendrier, de navigation Web, de consultation de courrier électronique, de messagerie instantanée, de GPS, etc.
Besoin de l'aide d'un avocat pour un problème de protection des données personnelles ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
Par la suite, l'évolution du concept a suivi l'évolution du débit disponible, notamment avec l'avènement du Edge en 2000, puis de la 3G à partir de 2006 et la 4G plus récemment de la 4G en 2013 et plus récemment de la 5G en 2020. Dès lors, la course à la téléphonie a pris un nouvel essor, notamment à partir de la " révolution tactile " amorcée par Apple et son premier iPhone, en 2007.Au même titre qu'en matière d'ordinateur avec les premières innovations d'IBM, la marque est aussi à l'origine de la naissance des smartphones, avec la conception de son IBM Simon en 1992.
Aujourd’hui, les plus répandus mondialement en 2022 sont les smartphones de Samsung avec une part de marché de 18 %, les iPhone d’Apple avec une part de marché de 14 % qui arrivent en 3e place, et la marque Xiaomi qui décroche pour la première fois la seconde place en 2021 des smartphones les plus vendus avec une part de marché de 17 %. (1)
Selon l’INSEE près de 77 % des Français âgés de plus de 15 possèdent un smartphone. (2) Ces derniers proposent bien entendu des applications et des services variés, dont beaucoup ne se méfient pas.
Pour autant, il existe de nombreux risques pour la vie privée des personnes, mais également concernant les données à caractère personnels des titulaires de ces appareils.
La Cnil s’alarme désormais sur ce phénomène. La protection des données sur smartphone devient un problème prégnant. La Commission informatique et libertés liste d’ailleurs désormais les risques et les conseils pour se protéger. En l’occurrence, le pistage (géolocalisation GPS) et pertes de données inquiètent particulièrement la Cnil.
Cette question du droit des personnes à la vie privée semble s'opposer, de fait et par principe, à une collecte abusive des données par les entreprises.
En effet, le lien entre l'usage des smartphones et les risques relatifs à la vie privée des personnes est devenu un sujet particulièrement épineux ces dernières années, notamment de par l'action des lanceurs d'alertes (Snowden et ses révélations sur la NSA en 2013, les dossiers Wikileaks, etc.), mais aussi du fait des nombreuses affaires liées à la sécurité des données personnelles (la bataille juridique entre le FBI et Apple suite à l'affaire San Bernardino en 2015, ou encore les récentes fuites des données sensibles des utilisateurs du service de transport Uber).
Alors, peut-on être pisté lorsqu'on utilise un smartphone ou certaines de ses applications ? Et comment protéger les consommateurs ?
A cet égard, il conviendra d’abord d’exposer les risques liés à l’utilisation d’un smartphone (1), pour ensuite en déduire des moyens de protection (2).
I. Géolocalisation et smartphone : l’obligation de vigilance de l’utilisateur
De plus en plus en vogue sur le marché de la téléphonie mobile, le smartphone propose de nouvelles fonctionnalités telles que la géolocalisation. Cet outil permettant de situer son téléphone à tout moment sur la planète peut aussi porter préjudice à l’utilisateur s’il n’est pas assez regardant. Chaque fois qu’une application nécessite de fonctionner avec la géolocalisation, elle demande l’autorisation à l’utilisateur. À ce sujet, la Cnil préconise de « faire attention aux applications que l'on installe sur son téléphone ; il faut aussi lire en détail les conditions d'utilisation des applications qui doivent préciser les données collectées et leur traitement. »
Quels sont donc les risques vis-à-vis de la vie privée du possesseur d’un smartphone (A) ? Et dans quelle mesure la vie privée peut-elle être limitée (B) ?
A. Les risques relatifs à la vie privée de l’utilisateur
Les Smartphones récents sont pratiquement tous équipés d'une puce GPS. Il est ainsi techniquement possible de pister un téléphone. Il existe par exemple des applications, nommées « trackers », permettant de localiser très précisément son téléphone en cas de perte, celui-ci transmettant des e-mails avec ses coordonnées GPS. La localisation permise est très précise. Néanmoins ces applications doivent être installées et activées par les utilisateurs, ce qui réduit le risque d'une utilisation malveillante. Reste que le smartphone est donc potentiellement un « mouchard » en tant que tel.
Il existe également un risque de vol d'informations personnelles (localisation, mails, contacts, pièces jointes, données bancaires …) si l'utilisateur installe des applications malveillantes qui accèdent aux données du téléphone. Ainsi en 2009 une entreprise suisse a vu l'une de ses applications retirées de l'Appstore Iphone car celle-ci transmettait les coordonnées téléphoniques des acheteurs de l'application qui étaient ensuite démarché par téléphone.
Il existe également un risque « marketing », notamment en raison du concept de « réalité augmentée » qui prend de plus en plus de place dans notre société (voir article sur la réalité augmentée), en mêlant images virtuelles et réelles. Par exemple, on filme un monument avec un téléphone et apparaissent sur l'écran des informations sur les restaurants, musées ou stations de métro alentour, ou encore on passe à côté d’un magasin d’une enseigne, et on reçoit alors une publicité incitant à rentrer dans le magasin en question (promotions, soldes, etc.).
Avec ces technologies dans lesquelles GPS et internet s’entrecroisent, il existe un risque réel d'être « pisté » du fait de l'utilisation de la géolocalisation. La Cnil reste donc pour l’instant très vigilante concernant la réutilisation des données à des fins marketings, et l’on pourra estimer que la démarche commerciale derrière de nouveaux types de jeux ou de services est parfois insidieuse.
Aussi, bien que le « marketing ciblé » basé sur la géolocalisation ne soit pas interdit, il faudra veiller à ce que des personnes souscrivant à des services de géolocalisation aient conscience de la possible réutilisation de leurs données à des fins commerciales et qu'elles puissent s'y opposer.
Dans un guide pratique en date du 1 avril 2019, la CNIL donne quelques conseils pour limiter la transmission de données personnelles sur les smartphones. (3)
Concernant la géolocalisation, la CNIL rappelle que près de 30 % des applications utilisent la géolocalisation. Les données qui sont récoltées révèlent de nombreuses informations sur l’utilisateur (lieux de vie, de travail, les établissements fréquentés, lieux de culte, etc).
Il convient donc d’y faire attention. Il est possible de désactiver la géolocalisation, pour ce faire il convient de se rendre dans les paramètres de son téléphone pour la désactiver. À titre d’exemple, sur IOS 11 on a la possibilité de régler les paramètres de géolocalisation pour chaque application. Il suffit une fois dans les réglages de l’appareil de cliquer sur « service de géolocalisation », puis de choisir une application et de préciser si l’on souhaite que l’application puisse « toujours avoir accès à la localisation » ou « seulement si l’app est en marche » ou encore « jamais ».
Par ailleurs, les « trackers » (applications utilisant la géolocalisation pour « pister » un utilisateur via son numéro de mobile) sont source d’autres conflits pour la vie privée des possesseurs de smartphones. D’abord du point de vue familial, mais également vis-à-vis de son employeur. Ainsi, il existe un risque potentiel qu’une personne puisse « suivre » son conjoint grâce au « tracker » placé dans son téléphone mobile à son insu.
Dès lors il suffira de lancer l’application sur son propre téléphone, d’y inscrire le numéro de son conjoint, et de savoir, dans un rayon d’une centaine de mètres, où se trouve la personne concernée. Une bonne chose diront certains pour la vie de famille, mais une atteinte à la vie privée pour d’autres.
Enfin, il existe également un risque lié à l’employeur. En transposant la situation familiale, au monde de l’entreprise, il est parfaitement envisageable qu’un employeur utilise la géolocalisation du smartphone de l’un de ses collaborateurs pour savoir sa situation exacte, ce qu’il fait durant son temps de travail, s’il est bien à son poste ou non, ce qu’il peut faire en déplacement professionnel, etc. Et si certaines sociétés utilisent déjà cette pratique pour des raisons de sécurité, et qu’il en découle une vie privée « limitée » du collaborateur salarié, il apparaît malgré tout que cette pratique doit être encadrée.
B. La tolérance à l’égard des risques : la vie privée limitée au profit de la sécurité
Le recours à un système de géolocalisation ne doit pas contribuer à une filature électronique. Les dispositifs et logiciels de géolocalisation, tels les « trackers », permettent en effet une traçabilité des déplacements des conducteurs des véhicules professionnels. Ici encore, une entreprise suspectant des salariés commerciaux, amenés à effectuer de nombreux déplacements, pourrait être tentée de les « tracer » pour connaître ainsi leurs moindres faits et gestes.
De tels dispositifs pouvant entraîner des risques d'atteinte à la vie privée des salariés, la CNIL a été conduite à encadrer leur mise en œuvre et a dégagé des conditions : désormais, la mise en place du système de géolocalisation peut faire l'objet d'une déclaration simplifiée si elle est conforme aux conditions posées par la norme n° 51 ; les personnes concernées doivent faire l'objet d'une information préalable ; et, la mise sous surveillance permanente des déplacements des salariés est justifiée lorsque l'activité du salarié est principalement itinérante.
A ce sujet, une surveillance systématique des déplacements du salarié via la mise en œuvre d'un dispositif de GPS/GSM peut être assimilée à une filature électronique disproportionnée par rapport aux intérêts légitimes de l'employeur. C'est ce qu'a indiqué, la Cour de cassation dans une décision du 26 novembre 2002 (Cass. soc., 26 nov. 2002, Montaigu Meret c/ SA Wieth-Lederle), faisant application de l'article L. 120-2 du Code du travail, en jugeant que la filature organisée par l'employeur pour contrôler et surveiller l'activité d'un salarié constitue un moyen de preuve illicite, sans faire de distinction selon que le salarié a été ou non informé de l'existence d'un tel contrôle.
L'employeur est tenu à une obligation de sécurité de résultat, qui lui impose de mettre en œuvre des moyens de protection du salarié qui soient parfaitement efficaces.
Néanmoins, dès lors que l’employeur fait usage de son pouvoir de contrôle pour mettre en place un outil, celui-ci est limité lorsqu’il est susceptible de porter atteinte aux libertés et droits fondamentaux des salariés. C’est donc le cas de la géolocalisation.
Il demeure que l’utilisation de tels moyens, pour obligatoire qu'elle soit, risque fort de porter atteinte aux libertés du salarié et particulièrement à sa vie privée. Une jurisprudence désormais établie considère en effet que ce dernier a droit au respect de sa vie privée au temps et au lieu de travail ; or, la sauvegarde de la sécurité du salarié peut entraîner la mise en place de mesures restreignant significativement sa vie privée. Dans une décision du 31 mai 2007 (CA Rennes, 31 mai 2007, ch. prud'h. 8, 31 mai 2007, Delmon c/ SA DCN Log), la cour d'appel de Rennes a considéré qu'était légal le licenciement d'un salarié, envoyé en mission en Arabie Saoudite, qui refusait de respecter les consignes de sécurité imposée par son employeur restreignant les conditions de séjour et de déplacement de ses salariés.
Le salarié considérait que de telles restrictions portaient atteinte à sa vie privée. Précisément, la cour a considéré que, compte tenu des menaces pesant sur la sécurité des personnes et de l'obligation de sécurité de résultat à laquelle est astreint l'employeur, ce dernier pouvait imposer au salarié, dans son contrat, des limites sévères à sa vie privée et à sa liberté de circulation, dans la mesure où celles-ci étaient « appropriées à la situation et proportionnées au but à atteindre face aux risques d'attentats ».
Dans ces conditions, l'obligation de sécurité semble clairement prendre le pas sur la vie privée du salarié. Pour autant, la sécurité n'autorise pas tout et les entreprises devront s'assurer que les droits des salariés soient scrupuleusement respectés, notamment en cas d'utilisation de dispositifs de sécurité électronique, de plus en plus utilisés.
Qu’il s’agisse de vidéosurveillance, d’outils de géolocalisation, ou de GPS, les dispositifs modernes de sécurité sont nombreux et leur utilisation strictement encadrée. Ainsi, les entreprises doivent veiller à ce que les salariés concernés soient clairement informés de l’utilisation de ces dispositifs (si le but du dispositif est la surveillance de l’activité du salarié, celui-ci doit être informé individuellement), qu’ils soient déclarés dans les règles, que leur utilisation soit conforme à leur finalité déclarée et que les droits reconnus aux personnes sur leurs données personnelles soient respectés.
Également, les représentants du personnel doivent être informés et consultés avant la mise en œuvre d’un dispositif de surveillance des salariés.
La mise en place d’un système de géolocalisation doit être justifiée par la nature de la tâche à accomplir et proportionnée au but recherché.
De plus, dès lors que l’on met en place un dispositif de géolocalisation, ce dernier génère de nombreuses données personnelles sur les salariés. L’employeur devra alors respecter les dispositions du Règlement général à la Protection des Données (RGPD) en vigueur depuis 2018. (4)
Les impératifs de sécurité peuvent donc permettre d’écarter la vie privée d’un salarié détenteur de smartphone. Aujourd’hui, les entreprises qui en fournissent à leurs collaborateurs sont légion. Il faudra donc veiller à ce que ce soit bien la sécurité qui mène à la surveillance des salariés, et non un but illégitime de contrôle de leurs activités et déplacements.
II. La nécessité de protéger le consommateur
La CNIL a rappelé en 2019 que les consommateurs détenteurs de smartphones devaient se prémunir contre les risques précédemment évoqués (A), et a rappelé quelques conseils de protection (B).
A. La protection des utilisateurs de smartphones
Après avoir adopté, le 16 mars 2006, une recommandation relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules utilisés par les employés des administrations et des entreprises, la Cnil a poursuivi sa réflexion générale sur les traitements de géolocalisation, envisageant notamment ceux qui sont opérés par liaisons avec des téléphones portables.
Pour se prémunir des risques évoqués, le premier réflexe à avoir est de faire attention aux applications que l'on installe sur son téléphone ; il faut aussi lire en détail les conditions d'utilisation des applications qui doivent préciser les données collectées et leur utilisation. En cas d'utilisation dans un contexte professionnel, les administrateurs ont la possibilité de limiter l'installation des applications à celles autorisées par l'entreprise. Et surtout, tous les utilisateurs doivent garder à l'esprit qu'un téléphone portable peut facilement se perdre, et qu'il doit donc impérativement être protégé par un code de verrouillage, après une courte période d'inactivité. Le code PIN de la carte SIM ne suffit pas.
Aussi, les fabricants de Smartphones s'engagent désormais vis-à-vis des applications disponibles sur leurs systèmes car bien évidemment les contrats qui lient les développeurs d'applications et les fabricants encadrent les collectes de données personnelles. Apple par exemple analyse les applications avant diffusion sur l'Appstore et a la possibilité d'effacer les applications à distance en cas de besoin.
Par ailleurs, le droit fournit une protection supplémentaire à celle issue des règles concernant le respect dû à la vie privée des personnes, il s’agit du droit à l’oubli également appelé droit à l’effacement. Il est prévu à l’article 17 du RGPD. Ce droit permet de demander l’effacement des données dès lors : qu’elles ne sont plus nécessaires au regard de la finalité du traitement, que la personne retire son consentement (et que la base traitement reposait sur le consentement), que le traitement est illicite ou encore que les données avaient été collectées auprès de mineurs.
Également, la conservation des données doit être limitée, ainsi les données qui seront conservées de façon légitime par l’employeur doivent être précises et actualisées, de plus elles L’article 226-20 du Code pénal sanctionne par trois ans d’emprisonnement et 45 000 € d’amende le fait de conserver les données au-delà de la durée prévue.
La CNIL préconise des durées différentes selon le type de données dans un guide pratique en date de juillet 2020 (5), le responsable de traitement doit déterminer les durées de conservation en fonction de l’objectif ayant conduit à la collecte de données. Certaines durées sont simplement conseillées par la CNIL d’autres seront obligatoires, car imposées par un texte législatif ou réglementaire.
Ainsi, la CNIL, consciente du « danger » entourant les smartphones, a agi avec pragmatisme en encadrant directement leur faculté à permettre la surveillance, le contrôle, voire même la filature de leurs utilisateurs.
B. La CNIL : Conseils pour sécuriser son smartphone
Le smartphone contient de nombreuses informations sur notre vie privée. La CNIL a rappelé sur son site internet quelques conseils utiles afin de protéger votre vie privée. (6)
- Il est important de ne pas laisser des informations confidentielles dans son smartphone (coordonnées bancaires, divers mots de passe, code d’accès, etc)
- Ne pas avoir un Code PIN trop facile (0000, 1234, etc) changer celui proposé par défaut.
- Mettre en place un code d’accès pour verrouiller le téléphone, ne pas se contenter du code PIN
- Vous pouvez également activer le chiffrement des informations sauvegardées sur votre téléphone, ainsi même si l’appareil est allumé, l’accès à vos données nécessitera la saisie d’un mot de passe.
- Pensez à installer un antivirus
- Notez le numéro « IMEI » du téléphone pour le bloquer en cas de perte ou de vol
- Ne pas télécharger des applications dont les sources sont inconnus
- Vérifier et changer toujours les accès autorisés aux applications que vous avez téléchargés dans les paramètres
- Lire les conditions d’utilisation des services ou applications avant de les installer, il peut également s’avérer très utile de lire les avis laissés par les autres utilisateurs.
- Réglez les paramètres de géolocalisation de votre smartphone pour toujours savoir quand et par qui vous êtes géolocalisés.
Pour lire une version plus adaptée aux mobiles de cet article sur la protection de la vie privée avce les smartphones, cliquez
ARTICLES QUI POURRAIENT VOUS INTERESSER :
Source :
(1) https://www.canalys.com/newsroom/worldwide-smartphone-market-q2-2021
(3) https://www.cnil.fr/fr/maitrisez-les-reglages-vie-privee-de-votre-smartphone
(4) https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on
(5) https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf
(6) https://www.cnil.fr/fr/cnil-direct/question/mon-smartphone-comment-le-securiser