Géolocalisation et applications mobiles : la CNIL resserre l'étau sur le marché caché des courtiers en données
Le marché caché de la géolocalisation mobile
Millions d'identifiants publicitaires croisés à des historiques de déplacement, revendus à des courtiers sans que les utilisateurs en aient conscience : plusieurs enquêtes journalistiques françaises et internationales ont mis au jour, ces derniers mois, l'ampleur du marché parallèle de la donnée de géolocalisation issue des applications mobiles. Dans une publication du 7 juillet 2026, la CNIL réagit en rappelant le cadre juridique applicable et les obligations qui pèsent sur toute la chaîne — éditeurs d'applications comme partenaires publicitaires.
Ce qui s'est passé
Les enquêtes visées par la CNIL ont révélé l'existence de bases de données regroupant des identifiants publicitaires associés à des trajectoires de déplacement précises, collectées via des applications très utilisées (mobilité, jeux, rencontres) puis revendues par des courtiers spécialisés. Ce constat rejoint celui des autorités de protection des données européennes sur la nécessité de mieux encadrer ces flux.
La CNIL profite de la publication d'une version modifiée de ses recommandations sur les applications mobiles pour rappeler les règles applicables : la géolocalisation constitue une donnée personnelle dès lors qu'elle permet d'identifier, directement ou indirectement, une personne — y compris lorsqu'elle est présentée comme « anonyme » ou associée à un simple identifiant technique. Quelques points de localisation suffisent souvent à reconnaître un individu, notamment son domicile ou son lieu de travail.
Pourquoi c'est important
Le traitement des données de géolocalisation est encadré par le RGPD ainsi que par l'article 82 de la loi Informatique et Libertés relatif à la vie privée dans les communications électroniques. La CNIL insiste sur un point souvent mal compris : l'autorisation technique donnée via les permissions du système d'exploitation ne vaut pas, à elle seule, consentement RGPD pour un usage publicitaire ou un partage avec des tiers. Encore faut-il s'appuyer sur la bonne base légale du RGPD : le consentement n'est requis que lorsque la géolocalisation n'est pas strictement nécessaire au service (ciblage publicitaire, revente marketing), pas lorsqu'elle sert directement la fonctionnalité demandée par l'utilisateur (calcul d'itinéraire, par exemple).
Ces obligations s'imposent à l'ensemble des acteurs de la chaîne de traitement : l'éditeur de l'application, mais aussi les régies publicitaires et courtiers en données auxquels ces informations sont transmises. Chacun doit qualifier son rôle — responsable de traitement ou sous-traitant — et respecter le cadre applicable en conséquence, rappelle la CNIL.
Ce que ça change pour les organisations
Pour les DPO et éditeurs d'applications mobiles, la publication de la CNIL invite à revoir plusieurs points concrets :
Vérifier la base légale réelle de chaque usage. Un consentement conforme (libre, spécifique, éclairé, univoque) doit être recueilli séparément dès que la localisation sert à un usage publicitaire ou de revente — indépendamment de l'autorisation système déjà donnée par l'utilisateur.
Limiter la collecte au strict nécessaire, conformément aux principes de l'article 5 du RGPD : privilégier une localisation approximative quand la précision GPS n'est pas indispensable, traiter les données localement sur l'appareil quand c'est possible, et éviter la collecte en arrière-plan hors des situations qui le justifient.
Fixer une durée de conservation proportionnée : conserver plusieurs années un historique détaillé de déplacements pour une application météo, par exemple, serait difficilement justifiable au regard du RGPD.
Garantir l'exercice effectif des droits — accès, effacement, opposition, retrait du consentement — sur les données de localisation, y compris lorsqu'elles ont été partagées avec des tiers publicitaires.
La CNIL rappelle enfin qu'elle peut contrôler, de sa propre initiative ou sur plainte, la collecte et l'usage des données de géolocalisation, et mobiliser sa chaîne répressive en cas de manquement avéré.
Ce que Leto pense de cette décision
Cette publication a le mérite de la clarté, mais elle arrive après que le mal soit largement fait : le marché des courtiers en données de géolocalisation existe depuis des années et prospère souvent via des SDK publicitaires intégrés sans audit sérieux par les éditeurs eux-mêmes. Le vrai chantier pour les organisations n'est donc pas seulement de revoir leurs propres pratiques de collecte, mais de cartographier — SDK par SDK, partenaire par partenaire — où partent réellement les données de localisation une fois qu'elles quittent l'application. C'est un exercice que beaucoup de DPO découvrent encore incomplet quand ils s'y penchent sérieusement, et que la CNIL est susceptible de vérifier en priorité lors de ses prochains contrôles sur le secteur mobile. Pour aller plus loin, notre webinaire RGPD et applications mobiles détaille les bonnes pratiques de conformité pour ce secteur, et notre article sur les dernières sanctions CNIL en procédure simplifiée montre que les manquements aux droits des personnes restent un motif récurrent de sanction.

