Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Données de localisation
Rechercher un article
Vous ne pouvez traiter les données de localisation (informations du réseau ou du service concernant la localisation d'un téléphone ou d'un autre appareil) qu'avec l'autorisation du fournisseur de réseau, de service ou de service à valeur ajoutée, et uniquement si :
Plus en détail…
Les données de localisation sont définies comme :
« toute donnée traitée dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service public de communications électroniques, y compris les données relatives à :
(f) la latitude, la longitude ou l'altitude de l'équipement terminal ; (g) le sens de déplacement de l'utilisateur ; ou (h) l'heure à laquelle les informations de localisation ont été enregistrées".
En d'autres termes, il s'agit d'informations collectées par un réseau ou un service sur l'emplacement ou l'emplacement du téléphone ou d'un autre appareil de l'utilisateur - par exemple, le traçage de l'emplacement d'un téléphone mobile à partir des données collectées par les stations de base sur un réseau de téléphonie mobile.
À notre avis, cela n'inclut généralement pas les informations de localisation basées sur le GPS provenant de smartphones, de tablettes, de systèmes de navigation par satellite ou d'autres appareils, car ces données sont créées et collectées indépendamment du réseau ou du fournisseur de services. Il n'inclut pas non plus les informations de localisation collectées à un niveau purement local (par exemple par les équipements wi-fi installés par les entreprises proposant le wi-fi dans leurs locaux). Cependant, les organisations utilisant ces données doivent toujours se conformer à la loi sur la protection des données.
Les règles sur les données de localisation se trouvent dans le règlement 14 et sont très strictes. Vous ne pouvez traiter les données de localisation que si vous êtes un fournisseur de communications publiques, un fournisseur d'un service à valeur ajoutée ou une personne agissant sous l'autorité d'un tel fournisseur, et uniquement si :
Ce règlement ne s'applique pas si les données sont des données de trafic. Voir ci-dessus pour plus d'informations sur le moment où vous pouvez utiliser les données de trafic.
Il existe une exemption pour les appels d'urgence 999 ou 112 (règlement 16). Il existe également une exemption pour les alertes d'urgence lorsqu'une autorité publique compétente doit avertir, conseiller ou informer les utilisateurs ou les abonnés d'une urgence dans leur région (règlement 16A).
Le fournisseur de communications publiques concerné a la responsabilité ultime de se conformer à ces règles. Si vous êtes un fournisseur de réseau ou de services et que vous transmettez des données de localisation à un fournisseur de services à valeur ajoutée tiers, ou que vous utilisez un processeur de données tiers pour traiter les données de localisation en votre nom, vous devez prendre des mesures pour vous assurer qu'elles sont conformes avec PECR. En particulier, vous devez avoir un contrat écrit avec tout processeur de données indiquant ce que le processeur de données est autorisé à faire.
Ceci est similaire aux obligations contractuelles du RGPD au Royaume-Uni - mais n'oubliez pas que pour se conformer au PECR, le contrat doit couvrir les données de localisation des utilisateurs professionnels ainsi que les données personnelles des individus. Consultez notre guide séparé sur le RGPD au Royaume-Uni pour plus d'informations sur les obligations contractuelles générales.
Cependant, toute autre personne traitant des données de localisation sans autorisation appropriée enfreindrait également le PECR.
Un « service à valeur ajoutée » est défini comme :
"tout service qui nécessite le traitement de données de trafic ou de données de localisation au-delà de ce qui est nécessaire à la transmission d'une communication ou à la facturation relative à cette communication".
Cela peut inclure, par exemple, un service d'appel qui localise le conducteur d'un véhicule en panne, un service "trouver mon téléphone" proposé par un opérateur de téléphonie mobile ou un opérateur de réseau mobile utilisant la localisation de ses clients pour cibler un contenu spécifique à la localisation. .
Pour être valable, le consentement doit être libre, spécifique et éclairé. Cela doit impliquer une forme d'action positive claire - par exemple, cocher une case, cliquer sur un lien, envoyer un e-mail ou s'abonner à un service - et la personne doit comprendre parfaitement qu'elle vous donne son consentement pour utiliser ses données de localisation. Vous ne pouvez pas montrer votre consentement si vous ne fournissez des informations sur l'utilisation des données de localisation que dans le cadre d'une politique de confidentialité difficile à trouver, difficile à comprendre ou rarement lue.
Le PECR précise que vous devez fournir à l'utilisateur ou à l'abonné des informations sur :
Vous ne pourrez pas vous fier à une déclaration générale "fourre-tout" sur une facture ou un site Web, et vous devrez obtenir un consentement séparé pour chaque service à valeur ajoutée demandé. Le moyen le plus clair d'obtenir le consentement est de demander un consentement explicite à l'utilisation des données de localisation.
Le PECR précise également que vous devez obtenir le consentement de la personne sur laquelle portent réellement les données - qui peut être un abonné ou un utilisateur. Pour cette raison, il n'est pas toujours suffisant de se fier au consentement donné par l'abonné à l'avance lors de la souscription de son contrat, si quelqu'un d'autre utilisera effectivement la connexion.
Dans le cas d'entreprises et d'autres sociétés abonnées (sociétés à responsabilité limitée, sociétés de personnes écossaises et organismes gouvernementaux), vous pouvez accepter les assurances d'un représentant donnant son consentement au nom de l'organisation, sauf si vous avez des motifs raisonnables de mettre en doute son autorité.
Les PECR précisent que le réseau ou le fournisseur de services doit fournir les informations pertinentes. Toutefois, si le service à valeur ajoutée concerné est proposé par un tiers, nous acceptons qu'il soit probablement plus approprié que le fournisseur tiers contacte directement le client pour fournir des informations et obtenir le consentement correspondant. Le point important est que le client doit comprendre qui utilise les données et qui fournit le service.
N'oubliez pas que le client a le droit de retirer son consentement à tout moment, auquel cas vous devez immédiatement cesser d'utiliser les données de localisation. Vous devez donner aux utilisateurs un moyen simple et gratuit de retirer leur consentement chaque fois qu'ils se connectent au réseau ou envoient une communication. Vous pouvez également offrir la possibilité de modifier leurs paramètres pour retirer temporairement leur consentement. Cependant, vous devez en rendre l'effet très clair afin que le client comprenne exactement comment cela fonctionne et dans quelles circonstances son consentement serait réactivé.