La collecte mobile d’information géographique volontaire (communément appelée VGI) se développe rapidement, transformant les citoyens en capteurs. Elle s’applique à l’observation de phénomènes spatiaux, comme le trafic routier, la pollution atmosphérique ou le bruit. Cependant, la géolocalisation des participants soulève des craintes justifiées de violation de vie privée. Le succès du déploiement d’une telle collecte à large échelle dépend donc de la capacité à protéger les données personnelles des participants tout en permettant de traiter en temps réel de flux continus de données géolocalisées. Cet article présente PAMPAS, un système distribué de VGI respectueux de la vie privée et offrant l’agrégation efficace des données. PAMPAS se base sur des mobiles équipés d’une sécurité matérielle, appelés ici sondes sécurisées, qui calculent des requêtes distribuées tout en empêchant les utilisateurs d’accéder aux données des autres utilisateurs. Les échanges de données entre sondes sécurisées sont chiffrés et passent par un serveur dit de support. Nous proposons deux protocoles distribués: l’un pour le calcul d’agrégats spatiaux et l’autre pour le partitionnement spatial adaptatif utilisé notamment pour paralléliser le calcul d’agrégats. Les résultats des expérimentations et l’analyse de sécurité montrent que ces protocoles permettent de collecter, agréger et partager des statistiques ou des données dérivées en temps réel sans divulguer aucune donnée personnelle.