Pokémon Go, 30 milliards d'images et des robots livreurs : anatomie d'un consentement invisible
Pokémon Go : 30 milliards d'images de joueurs servent aujourd'hui à entraîner des robots livreurs. Tout était dans les CGU. Mais le consentement était-il vraiment éclairé ?

Vous avez probablement croisé l'information cette semaine. Niantic Spatial, la branche intelligence artificielle issue du studio créateur de Pokémon Go, a annoncé un partenariat stratégique avec Coco Robotics, une startup qui déploie des robots de livraison autonomes sur les trottoirs de Los Angeles, Chicago, Miami, Jersey City et Helsinki. L'objet du partenariat : intégrer dans ces robots le Visual Positioning System de Niantic, un modèle géospatial entraîné sur plus de 30 milliards d'images collectées auprès des joueurs de Pokémon Go, Ingress et Pikmin Bloom au cours de la dernière décennie.
Et immédiatement, la vague de posts viraux a suivi. Le récit dominant, relayé sur X, Reddit et LinkedIn, se résume en une phrase : « Les joueurs de Pokémon Go ont cartographié le monde sans le savoir, et leurs données servent maintenant à entraîner des robots. »
Le problème, c'est que cette phrase est à la fois vraie et profondément trompeuse. Et c'est précisément dans cet écart que se joue une question bien plus intéressante que le sensationnalisme ambiant.

Ce que Niantic a réellement construit
Pour comprendre ce qui se passe, il faut revenir à ce que le Visual Positioning System fait concrètement. Le GPS, dans un environnement urbain dense, est notoirement imprécis. Les signaux rebondissent entre les immeubles, se dégradent sous les ponts, dérivent de plusieurs dizaines de mètres dans les zones que les ingénieurs appellent « canyons urbains ». Brian McClendon, le CTO de Niantic Spatial et ancien responsable de Google Maps, résume le problème avec une image parlante : ce point bleu sur votre téléphone qui vous place parfois sur le mauvais trottoir, dans la mauvaise direction, à 50 mètres de votre position réelle.
Le VPS résout ce problème autrement. Au lieu de se fier aux satellites, il compare ce que voient les caméras d'un appareil (un téléphone, un robot, demain des lunettes AR) avec une base de données massive d'images géolocalisées du monde réel. En croisant les angles, les repères visuels, les bâtiments, les textures, le système calcule une position au centimètre près. C'est le même principe technique qui permettait à un Pikachu virtuel de « courir » de façon réaliste sur un trottoir dans Pokémon Go. Sauf qu'aujourd'hui, c'est un robot de livraison chargé de huit pizzas extra-larges qui en a besoin pour naviguer sans écraser personne.
Le modèle sous-jacent, que Niantic appelle son Large Geospatial Model, a été entraîné sur 30 milliards d'images collectées auprès de centaines de millions de joueurs, depuis le lancement de Pokémon Go en juillet 2016. Pour chacun des plus d'un million de points d'intérêt référencés, Niantic dispose de milliers d'images prises sous des angles différents, à des heures différentes, dans des conditions météo différentes. C'est cette densité de couverture qui rend le système robuste face aux variations du réel : un chantier qui apparaît, un éclairage qui change, une terrasse de café qui s'installe.

La question du consentement : plus subtile qu'il n'y paraît
C'est ici que le débat mérite d'être posé avec honnêteté, sans tomber ni dans l'indignation réflexe ni dans la défense corporatiste. Et c'est ici, surtout, qu'une lecture par le facteur humain devient indispensable. Parce que la question n'est pas technique, ni même juridique. Elle est cognitive. Elle relève de ce que la cyberpsychologie appelle le décalage entre consentement formel et consentement éclairé : le moment où un utilisateur coche « j'accepte » sans que son cerveau ait réellement traité ce à quoi il s'engage.
Le récit viral dit : « sans le savoir ». La réponse de Niantic et de certains analystes dit : « tout était transparent depuis 2016 ». La réalité se situe entre les deux, et c'est cette zone grise qui est instructive.
Commençons par ce qui est incontestable. Dès 2016, les conditions d'utilisation de Pokémon Go accordaient à Niantic une licence perpétuelle, mondiale, gratuite et irrévocable sur les contenus envoyés par les joueurs : photos, vidéos, données de capteurs. L'application demandait explicitement l'accès à la caméra pour l'expérience de réalité augmentée. John Hanke, le fondateur de Niantic et ancien patron de Google Earth, n'a jamais fait mystère de son ambition de construire une carte 3D du monde réel à partir des données des joueurs. En 2020, la fonctionnalité « Scan a PokéStop » (rebaptisée ensuite AR Mapping) a été déployée comme un mécanisme explicitement opt-in : le joueur devait accepter volontairement de filmer un lieu réel en échange de récompenses en jeu. Les scans étaient automatiquement anonymisés (floutage des visages et des plaques d'immatriculation) et non rattachés aux comptes individuels.
Sur le plan juridique formel, il n'y a rien de caché. Tout est écrit. Tout est documenté. Tout est opt-in pour la partie scan.
Mais regardons ce que « transparent » signifie dans la pratique pour un joueur de 14 ans qui lance l'application pour attraper un Roucool devant chez lui en 2016. C'est là que le facteur humain entre en jeu, et qu'il faut nommer les choses. La politique de confidentialité fait plusieurs milliers de mots. La licence perpétuelle et irrévocable sur les contenus envoyés est noyée dans un document que moins de 1 % des utilisateurs lisent, et ce chiffre n'est pas une hyperbole, c'est une constante documentée dans toutes les études sur les CGU depuis vingt ans. Ce phénomène porte un nom en psychologie cognitive : la fatigue du consentement. À force de cliquer « j'accepte » dix fois par jour sur des documents que personne ne peut raisonnablement lire, le cerveau humain automatise le geste. Le consentement devient un réflexe moteur, pas un acte de compréhension. Le fondateur de Niantic avait une vision stratégique claire dès le premier jour, mais cette vision n'a jamais été communiquée dans l'interface du jeu elle-même. L'opt-in des scans PokéStop, introduit en 2020, était certes volontaire, mais incentivé par des récompenses en jeu. En cyberpsychologie, c'est un cas textbook de ce qu'on appelle le nudge par récompense variable : le joueur ne scanne pas parce qu'il a compris et accepté la finalité géospatiale de son geste, il scanne parce que son cerveau anticipe un bonbon virtuel. La frontière entre « choix libre » et « incitation structurelle » devient considérablement plus floue quand la dopamine s'en mêle.
Et surtout : au moment où les joueurs ont scanné leurs PokéStops en 2020 ou 2021, aucun d'entre eux ne pouvait raisonnablement anticiper que leurs images serviraient, cinq ans plus tard, à entraîner des robots de livraison autonomes dans le cadre d'un partenariat avec une startup de la Silicon Valley. La finalité a glissé. Pas de façon illégale (la licence le permettait), mais de façon que le consentement initial ne pouvait pas couvrir de manière éclairée.
C'est exactement la définition du problème du consentement par anticipation dans l'économie des données : on accepte un usage à un instant T, et les données servent à un usage radicalement différent à T+5, sans que personne ne revienne vous demander votre avis.

Le vrai sujet : la dérive de finalité comme modèle économique
Ce qui rend le cas Niantic/Pokémon Go particulièrement intéressant, ce n'est pas qu'il soit scandaleux (il ne l'est pas, au sens juridique du terme). C'est qu'il illustre avec une clarté rare un mécanisme devenu structurel dans l'économie numérique : la collecte de données pour un usage déclaré, suivie d'une réutilisation commerciale sous une finalité entièrement différente, rendue possible par des clauses contractuelles suffisamment larges pour couvrir à peu près n'importe quoi.
Niantic n'a pas piégé ses joueurs. Mais Niantic a conçu un système dans lequel le jeu est l'interface, le divertissement est l'incitation, et la donnée géospatiale est le produit. Le joueur est à la fois le client et le capteur. Et quand le studio est vendu à Scopely (propriété du fonds souverain saoudien Savvy Games Group) en 2025 pour 3,5 milliards de dollars, tandis que la branche IA est séparée et conservée par les investisseurs originaux, on comprend que la valeur n'a jamais résidé dans les Pikachu.
Il est d'ailleurs révélateur que le MIT Technology Review cite McClendon expliquant que Niantic Spatial veut construire une « carte vivante » du monde réel, qui se met à jour en continu grâce aux données remontées par les robots eux-mêmes et par tous les appareils utilisant le système. Le cercle se referme : les joueurs ont alimenté le modèle initial, les robots alimenteront le modèle suivant, et le produit final, une infrastructure de positionnement visuel à l'échelle planétaire, sera licencié à qui voudra bien payer.
Ajoutons un point que presque personne ne mentionne dans la couverture médiatique : une fois les images anonymisées et intégrées au modèle, les joueurs n'ont aucun droit de retrait sur les données déjà traitées. L'opt-out ne concerne que les contributions futures. Le modèle, lui, est irréversible. C'est un fait technique, pas une critique morale, mais c'est un fait qu'il faut avoir en tête quand on parle de transparence.
Ce que j'en retiens pour 2026
Cette histoire n'est ni un scandale ni une non-information. C'est un révélateur. Et ce qu'elle révèle, ce n'est pas une faille juridique ou une défaillance technique. C'est l'angle mort fondamental de toute notre approche du consentement numérique : nous concevons des systèmes de protection des données comme si les humains qui les utilisent étaient des lecteurs attentifs, des décideurs rationnels, des agents pleinement informés. Ils ne le sont pas. Ils ne l'ont jamais été. Et construire des architectures de consentement sur cette fiction, c'est construire une maison sur du sable en se félicitant de la solidité du toit.
C'est exactement pour cette raison que je défends, dans mon travail comme dans mes interventions, une approche de la cybersécurité et de la gouvernance des données qui part du facteur humain, pas de la conformité documentaire. Le RGPD impose le principe de limitation des finalités. Très bien. Mais quand les clauses contractuelles sont rédigées de manière suffisamment englobante pour couvrir des usages qui n'existent pas encore, et que l'utilisateur les accepte dans un état de fatigue du consentement chronique, le principe protège le texte, pas la personne.
Et ça, j'en parle dans mon livre Être en Cybersécurité, paru l'année dernière.

La vraie question pour les organisations en 2026 n'est pas « est-ce que nos CGU couvrent cet usage ? ». Elle est : « est-ce que nos utilisateurs comprennent réellement ce à quoi ils participent, au moment où ils y participent ? ». Et si la réponse est non, alors la conformité juridique ne vous protège que devant un tribunal. Pas devant l'opinion. Pas devant la perte de confiance. Pas devant le moment où vos utilisateurs découvrent, cinq ans plus tard, que leurs gestes ludiques alimentent une infrastructure commerciale qu'ils n'avaient jamais imaginée.
Niantic n'a rien fait d'illégal. Mais l'écart entre la légalité d'un usage de données et sa légitimité perçue par les utilisateurs est un risque que ni les juristes ni les ingénieurs ne savent mesurer. Seule une approche qui intègre la psychologie cognitive dans la gouvernance des données peut commencer à le combler.
Le mot de la fin
En 2016, cinq cents millions de personnes ont installé Pokémon Go en soixante jours. Elles cherchaient un Pikachu. Dix ans plus tard, le Pikachu est toujours là, mais derrière lui se dresse une infrastructure de cartographie 3D du monde réel, entraînée sur 30 milliards d'images, vendue à des fabricants de robots autonomes.
Personne n'a été volé. Mais la question qui mérite d'être posée n'est pas « est-ce que c'était légal ? » (la réponse est oui). La question est : à partir de quand un consentement donné pour attraper un personnage de dessin animé cesse-t-il de couvrir l'entraînement de machines autonomes qui circulent sur les trottoirs de vos enfants ?
Sources
- MIT Technology Review, 10 mars 2026, « How Pokémon Go is giving delivery robots an inch-perfect view of the world »
- Niantic Spatial, 10 mars 2026, annonce officielle du partenariat avec Coco Robotics
- PetaPixel, 16 mars 2026, « Pokémon GO Players Helped Build a 30 Billion AR Image Map of the World »
- Hackaday, 12 mars 2026, « Pokemon Go Had Players Capturing More Than They Realized »
- Pokémon GO, annonce officielle « PokéStop Scanning » (2020)
- Niantic Labs, Privacy Policy (version en vigueur)
Questions fréquentes
Niantic a-t-il agi illégalement en réutilisant les images des joueurs ?
Non. Dès 2016, les CGU accordaient à Niantic une licence perpétuelle et irrévocable sur les contenus envoyés, et les scans PokéStop de 2020 étaient en opt-in et anonymisés. Tout était juridiquement couvert.
Pourquoi parler de consentement « invisible » si tout était écrit ?
Parce que la légalité formelle ne garantit pas un consentement éclairé. Les CGU font plusieurs milliers de mots que moins de 1 % des utilisateurs lisent, et la « fatigue du consentement » transforme le clic « j'accepte » en réflexe plutôt qu'en acte de compréhension.
Qu'est-ce que la dérive de finalité dans ce cas précis ?
Les joueurs ont accepté un usage ludique de leurs images en 2016 ou les ont scannées en 2020-2021. Cinq ans plus tard, ces données entraînent des robots de livraison autonomes, un usage radicalement différent que le consentement initial ne pouvait anticiper.
Un joueur peut-il faire retirer ses images du modèle ?
Non. Une fois les images anonymisées et intégrées au modèle, il n'existe aucun droit de retrait sur les données déjà traitées. L'opt-out ne porte que sur les contributions futures ; le modèle, lui, est irréversible.
Quelle leçon pour les organisations en 2026 ?
La conformité juridique des CGU ne suffit pas. La vraie question est de savoir si les utilisateurs comprennent réellement ce à quoi ils participent au moment où ils le font ; sinon, le droit protège le texte, pas la personne ni la confiance.
Sources & méthodologie
- MIT Technology Review, 10 mars 2026, « How Pokémon Go is giving delivery robots an inch-perfect view of the world »
- Niantic Spatial, 10 mars 2026, annonce officielle du partenariat avec Coco Robotics
- PetaPixel, 16 mars 2026, « Pokémon GO Players Helped Build a 30 Billion AR Image Map of the World »
- Hackaday, 12 mars 2026, « Pokemon Go Had Players Capturing More Than They Realized »
- Pokémon GO, annonce officielle « PokéStop Scanning » (2020)
- Niantic Labs, Privacy Policy (version en vigueur)

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
