Tech & Numérique

Quelle est la législation concernant l’utilisation des données géographiques ?

Cartes, traces GPS, adresses et images aériennes ne s’utilisent pas librement : en France, leur réemploi dépend du RGPD, des licences et de l’open data.

La rédaction My9tv 10 min de lecture
Quelle est la législation concernant l’utilisation des données géographiques ?

Une adresse, une position GPS, un tracé de livraison, une carte des réseaux, une photographie aérienne ou les limites d’une parcelle sont des données géographiques. Elles sont devenues centrales pour les applications mobiles, l’urbanisme, la logistique, l’environnement, le commerce ou encore l’analyse des risques. Pourtant, leur disponibilité technique — sur un portail public, une carte en ligne ou une API — ne donne pas automatiquement le droit de les copier, de les combiner, de les publier ou d’en tirer un service commercial.

En France, le cadre résulte d’un empilement de règles européennes et nationales. Il faut distinguer la protection des personnes par le RGPD, la propriété intellectuelle des cartes et bases de données, les règles d’accès aux documents administratifs et d’open data, ainsi que le dispositif Inspire pour les informations environnementales. La bonne question n’est donc pas seulement « puis-je utiliser cette donnée ? », mais qui l’a produite, à quelles conditions, pour quelle finalité et avec quelles conséquences pour les personnes ?

Commencer par qualifier la donnée et l’usage envisagé

La qualification juridique dépend moins du format du fichier que de son contenu, de son origine et de son contexte. Une couche SIG peut sembler purement technique tout en regroupant plusieurs régimes : coordonnées de bâtiments, observations naturalistes, limites administratives, photos géolocalisées et identifiants d’usagers n’obéissent pas aux mêmes règles.

Les principales catégories à reconnaître

  • Données de référence : adresses, voies, limites territoriales, relief ou réseaux. Elles peuvent être publiques, mais leur réutilisation dépend toujours de la licence affichée.
  • Données personnelles de localisation : position d’un téléphone, historique de trajets, adresse d’un client, badgeage géolocalisé, véhicule rattaché à un salarié ou à un foyer. Le RGPD s’applique dès qu’une personne est identifiable directement ou indirectement.
  • Données environnementales : qualité de l’air, sols, zones inondables, habitats, eau, installations ou zonages. Elles sont particulièrement concernées par le cadre Inspire lorsqu’elles sont détenues par des autorités publiques.
  • Données produites par une entreprise ou un particulier : relevés terrain, cartes propriétaires, images, bases clients enrichies d’adresses. Elles peuvent être protégées par le droit d’auteur, le droit des bases de données, le secret des affaires ou le contrat.
  • Données sensibles par leur effet : localisation d’un refuge, d’un site stratégique, d’une espèce vulnérable, d’un domicile ou d’un lieu de culte. Elles ne sont pas forcément toutes « sensibles » au sens strict du RGPD, mais leur diffusion peut créer un risque important.
Les premiers réflexes juridiques selon le type de données géographiques
SituationRègles prioritairesVérifications indispensablesPrudence particulière
Traces GPS d’utilisateurs ou de salariésRGPD, règles relatives au terminal et droit du travail le cas échéantBase légale, information, minimisation, durée, sécuritéSuivi continu, précision excessive, réutilisation commerciale
Carte ou fond cartographique téléchargéDroit d’auteur, droit des bases de données, contrat ou licenceAuteur, licence, attribution, droit de modification et de redistributionCaptures d’écran et extraction massive sans autorisation
Jeu de données d’une collectivitéOpen data, droit d’accès aux documents administratifs, licence de réutilisationStatut public, présence de données personnelles, conditions de licenceRéemploi de données incomplètes, obsolètes ou agrégées
Données environnementales publiquesCode de l’environnement et dispositif InspireThème concerné, métadonnées, restrictions d’accès, conditions de réutilisationLocalisation d’espèces, sécurité publique, droits de tiers
Base interne enrichie d’adressesRGPD, secret des affaires, propriété intellectuelleOrigine des adresses, droit d’usage, contrats fournisseurs, qualitéCroisement de sources permettant de profiler des personnes

Géolocalisation et RGPD : les obligations dès qu’une personne est concernée

Le RGPD encadre tout traitement de données personnelles réalisé dans l’Union européenne, ou visant des personnes qui s’y trouvent. Une coordonnée GPS n’est pas nominative par nature ; elle le devient lorsqu’elle est reliée à un compte, un appareil, un véhicule attribué, une adresse ou un ensemble d’indices permettant d’identifier quelqu’un. Les données de localisation sont particulièrement intrusives car elles révèlent les déplacements, les routines et parfois des informations très intimes.

Donnée géographique personnelle ou non personnelle : deux démarches différentes

La donnée permet d’identifier une personne

  • Le RGPD s’applique, y compris lorsque l’identification est indirecte.
  • Une finalité précise et une base légale doivent être définies avant la collecte.
  • Les personnes doivent être informées de façon claire et pouvoir exercer leurs droits.
  • Les accès, la conservation, les transferts et la sécurité doivent être maîtrisés.

La donnée ne concerne pas une personne identifiable

  • Le RGPD ne s’applique pas en tant que tel, mais d’autres droits peuvent limiter l’usage.
  • La licence, le droit d’auteur, le droit des bases de données et le contrat restent déterminants.
  • La diffusion peut être limitée pour des motifs de sécurité, de confidentialité ou de protection de l’environnement.
  • Une réidentification ultérieure doit être anticipée avant toute publication détaillée.

Le consentement n’est pas la seule base légale

Il est fréquent d’associer géolocalisation et consentement, notamment dans une application grand public. Mais le consentement n’est valable que s’il est libre, spécifique, éclairé et aussi facile à retirer qu’à donner. Selon le contexte, un organisme peut plutôt s’appuyer sur l’exécution d’un contrat, une obligation légale, une mission d’intérêt public ou un intérêt légitime soigneusement mis en balance avec les droits des personnes. Dans une relation de travail, le consentement est rarement la solution la plus solide en raison du lien de subordination.

  • Définir une finalité limitée : guider un utilisateur, sécuriser un intervenant isolé ou optimiser une tournée ne justifie pas forcément un suivi permanent.
  • Réduire les données : choisir une précision, une fréquence de remontée et une zone géographique adaptées au besoin réel.
  • Informer avant la collecte : expliquer qui traite la position, pourquoi, combien de temps, qui y accède et comment exercer ses droits.
  • Fixer une conservation courte et justifiée : une donnée de suivi en temps réel n’a pas nécessairement vocation à être archivée durablement.
  • Sécuriser l’ensemble de la chaîne : application, API, journalisation, prestataires, terminaux, comptes administrateurs et exports.
  • Prévoir les droits des personnes : accès, effacement, opposition, limitation et, dans certains cas, portabilité.

L’accès à la localisation via un smartphone peut aussi impliquer des règles propres à l’accès ou à l’écriture d’informations sur le terminal. Les réglages du système d’exploitation ne dispensent pas, à eux seuls, de respecter les obligations d’information et de base légale. Si une application utilise des traceurs ou des identifiants à des fins non nécessaires au service, des obligations supplémentaires de consentement peuvent s’ajouter.

Cartes, images et bases : vérifier les droits de propriété intellectuelle

Les faits bruts — une coordonnée, le nom d’une rue ou l’altitude d’un point — ne sont pas automatiquement protégés par le droit d’auteur. En revanche, la sélection, la structure, la représentation graphique, les symboles, les photographies, les images aériennes, les textes descriptifs et les outils d’accès peuvent l’être. Une base de données peut également bénéficier d’une protection spécifique lorsque son producteur a réalisé un investissement substantiel pour obtenir, vérifier ou présenter son contenu.

Concrètement, il ne faut pas confondre consultation et réutilisation. Afficher une carte dans un navigateur, télécharger un extrait, intégrer des tuiles dans une application, aspirer une base entière, créer un produit dérivé ou redistribuer une couche sont des actes différents. Ils sont souvent encadrés par des conditions contractuelles et une licence, même lorsque le service est gratuit.

Lire une licence avant d’intégrer des données

  1. Identifier le producteur de chaque couche et non seulement le site qui l’héberge.
  2. Lire le périmètre de la licence : usage commercial ou non, modification, redistribution, obligation de citation, partage à l’identique, limites techniques.
  3. Conserver la preuve de la version téléchargée, de la date d’accès et des conditions applicables.
  4. Vérifier les droits sur les données combinées : une couche libre ajoutée à un fond restreint ne rend pas l’ensemble libre.
  5. Prévoir l’attribution à l’endroit demandé par la licence, dans l’application, la carte exportée ou les métadonnées.

Open data et directive Inspire : ce que les organismes publics doivent partager

Le principe d’ouverture des données publiques favorise l’accès et la réutilisation de nombreux jeux de données détenus par les administrations. En France, les règles d’accès aux documents administratifs et de réutilisation des informations publiques organisent ce mouvement, avec une logique d’ouverture par défaut dans les cas prévus par la loi. Des données géographiques peuvent donc être proposées en téléchargement, via des services web ou dans des catalogues de métadonnées.

Cette ouverture connaît toutefois des limites importantes. Une administration ne peut pas diffuser librement des données personnelles, des informations couvertes par un secret légal, des données portant atteinte à la sécurité publique, ni des contenus sur lesquels des tiers détiennent des droits qu’elle ne peut concéder. Avant publication, elle doit aussi s’interroger sur le risque de réidentification : une carte agrégée et une table de points précis n’ont pas le même impact.

Le rôle spécifique d’Inspire

La directive européenne Inspire concerne l’information géographique environnementale détenue par les autorités publiques ou en leur nom. Transposée en droit français, elle vise à rendre ces données plus faciles à découvrir, comprendre et utiliser entre autorités grâce à des métadonnées, à des règles d’interopérabilité et à des services en réseau. Elle couvre de nombreux thèmes : systèmes de coordonnées, parcelles cadastrales, hydrologie, occupation des sols, zones à risque, biodiversité ou installations industrielles, selon les catégories prévues.

Inspire n’impose pas que toute donnée soit téléchargeable sans condition ni que tout acteur privé ouvre ses bases. Elle organise avant tout une infrastructure d’information environnementale et la coopération des autorités concernées. Elle doit être articulée avec les règles d’accès à l’information environnementale, l’open data, le RGPD et les droits de propriété intellectuelle.

Mettre un projet de géodonnées en conformité : la méthode opérationnelle

La conformité ne se règle pas à la fin d’un projet par l’ajout d’une mention légale. Elle se construit dès la conception du service, qu’il s’agisse d’une carte publique, d’un outil de tournée, d’un observatoire local ou d’une application mobile. Une analyse précoce évite de bâtir une fonctionnalité dont la collecte serait disproportionnée ou dont les données ne pourraient pas être publiées.

  1. 01
    Cartographier les flux

    Lister les données collectées, achetées, reçues ou publiées, leur niveau de précision, les personnes ou lieux concernés, les destinataires et les pays d’hébergement.

  2. 02
    Établir les droits d’usage

    Pour chaque couche, vérifier la licence, le contrat, les droits de propriété intellectuelle et les éventuelles restrictions de rediffusion ou d’extraction.

  3. 03
    Évaluer la dimension personnelle

    Déterminer si l’identification est possible par croisement, choisir la base légale, rédiger l’information et organiser les droits des personnes. Une analyse d’impact relative à la protection des données peut être nécessaire lorsqu’un traitement est susceptible d’engendrer un risque élevé.

  4. 04
    Réduire le risque à la source

    Diminuer la précision, agréger par zone, pseudonymiser lorsque cela est pertinent, supprimer les points inutiles et séparer les identifiants des traces de déplacement.

  5. 05
    Sécuriser et contractualiser

    Limiter les habilitations, chiffrer les échanges lorsque nécessaire, encadrer les prestataires par contrat et préparer une procédure de gestion des violations de données.

  6. 06
    Publier avec le bon contexte

    Ajouter métadonnées, date de mise à jour, méthode de production, limites de qualité, licence, attribution et canal de signalement. Une donnée géographique sans contexte peut conduire à des décisions erronées.

Les erreurs qui exposent le plus souvent à un risque juridique

Les difficultés viennent rarement d’une seule règle ignorée. Elles naissent plutôt d’un assemblage : une carte sous licence restrictive, enrichie avec des données clients, hébergée par un prestataire situé hors de l’Espace économique européen et partagée avec des partenaires sans information des personnes. Il faut donc raisonner sur l’ensemble du cycle de vie de la donnée.

  • Réutiliser une carte trouvée en ligne en supposant qu’elle est libre parce qu’elle est visible publiquement.
  • Conserver indéfiniment des historiques de positions « au cas où ».
  • Collecter une localisation précise alors qu’une zone approximative suffit au service.
  • Publier des données prétendument anonymes sans tester le risque de recoupement avec d’autres sources accessibles.
  • Oublier l’attribution demandée par une licence ou mélanger des couches incompatibles.
  • Transmettre des données de localisation à des sous-traitants ou partenaires sans encadrement clair.
  • Négliger les mises à jour : une limite administrative, une adresse ou une zone de risque obsolète peut avoir des effets concrets.

En cas d’enjeu commercial, de suivi régulier de personnes, de diffusion de données détaillées ou de doute sur une licence, il est prudent d’associer le délégué à la protection des données, les équipes juridiques et les responsables SIG dès le cadrage. Pour un organisme public, les services compétents en matière d’accès aux documents administratifs et de données publiques doivent aussi être impliqués. Cette démarche ne remplace pas un conseil juridique adapté au projet, mais elle évite les erreurs les plus coûteuses.

Questions fréquentes

Puis-je utiliser librement des données géographiques disponibles sur un site public ?+

Non. Le fait qu’un jeu de données soit accessible en ligne ne suffit pas à autoriser sa réutilisation. Il faut vérifier son producteur, sa licence, les obligations d’attribution, les droits de modification ou de redistribution et l’éventuelle présence de données personnelles ou de droits détenus par des tiers.

Une adresse postale est-elle une donnée personnelle ?+

Une adresse peut être une donnée personnelle lorsqu’elle désigne ou permet de relier un lieu à une personne identifiable, notamment un domicile ou l’adresse d’un client. Une adresse d’entreprise ou une référence géographique générale n’est pas systématiquement personnelle, mais le contexte et les possibilités de recoupement doivent être examinés.

Faut-il toujours demander le consentement pour géolocaliser un utilisateur ?+

Pas nécessairement : le RGPD prévoit plusieurs bases légales. Le responsable du traitement doit retenir celle qui correspond réellement à la finalité et informer la personne de manière claire. Le consentement demeure souvent approprié pour une fonctionnalité optionnelle, mais il doit pouvoir être refusé ou retiré sans conséquence disproportionnée.

La directive Inspire oblige-t-elle toutes les entreprises à ouvrir leurs cartes ?+

Non. Inspire cible principalement les données environnementales détenues par des autorités publiques, ou pour leur compte, et organise leur découverte, leur interopérabilité et certains services d’accès. Elle ne crée pas une obligation générale pour les entreprises privées de publier toutes leurs données géographiques.

Puis-je publier les trajets GPS de mes clients après avoir retiré leurs noms ?+

Pas sans analyse approfondie. Des trajets détaillés peuvent révéler un domicile, un lieu de travail, des habitudes ou des visites et rendre les personnes réidentifiables. Il faut évaluer le risque, réduire fortement la précision ou agréger les données, et vérifier que la publication est compatible avec la finalité initiale et la base légale.

Quelles informations doivent figurer avec une carte ou un jeu de données publié ?+

Il est recommandé d’indiquer au minimum le producteur, la date ou période de mise à jour, le système de référence si nécessaire, la méthode de production, les limites de qualité, la licence et les modalités d’attribution. Ces métadonnées permettent aux réutilisateurs de comprendre le périmètre de la donnée et d’éviter des usages trompeurs.

données géographiquesgéolocalisationrgpdopen datadirective inspiredroit d'auteur
Plus de Tech