La CNIL française peut sembler bien esseulée et mal dotée face au développement constant des bases de données de toutes sortes mais elle demeure un élément essentiel dans le paysage juridique français pour ce qui est d'éclairer les pratiques. Dans ce sens, les recommandations de celle-ci sur les questions de géolocalisation doivent être regardées avec intérêt.
La CNIL se penche d'abord sur les bases de données à volonté de cartographie des réseaux WIFI. Apple, Google, ou encore Skyhook possèdent de telles bases, qui recensent les réseaux WIFI avec leur numéro BSSID et permettent, en connaissant les réseaux proches d'un utilisateur, un positionnement approximatif, rapide et relativement précis. C'est cette méthode qui est utilisée sur votre iPhone, iPod touch iPad lorsque vous utilisez les services de géolocasation. Si l'iBidule dispose d'une puce GPS, et dans le cas où le signal est reçu (vous êtes à l'extérieur), celle-ci prend le relais une fois localisée.
La CNIL rappelle que l’association de données permettant d’identifier un point d’accès WiFi avec des données de géolocalisation est de nature à permettre l’identification d’une personne indirectement ou directement (par exemple lorsque son nom apparait dans le SSID). Il s'agit dont d'une donnée à caractère personnel au sens de la loi. En conséquence, ces fichiers des réseaux WIFI doivent être déclarés à la Commission. Les données ne doivent pas être conservées plus de 5 ans, et les possesseurs de réseau WIFI doivent pouvoir s'opposer (opt out) à cette collecte et être informé de cette possibilité.
En matière de localisation avec un smartphone, la CNIL se fait plus exigeante : les données doivent être conservées 24 heures au maximum si un identifiant unique est attribué au téléphone par le gestionnaire de la base cartographique. L'identifiant, en outre, doit être aléatoire. Le possesseur du smartphone doit être averti de la collecte et de ses fins, et doit, là aussi, pouvoir s'y soustraire en supprimant ces données de localisation.
Globalement, la posture de la CNIL, qui s'imposera à Apple et Google, semble fort raisonnable et raisonnée, optant pour une position médiane entre refus de collecte et encadrement de celle-ci. Apple, en sortant iOS 4.3.3 est déjà, par ailleurs, largement en conformité avec ces recommandations.
