La Cnil lance une recherche sur les données de géolocalisation des applications mobiles
Les données de géolocalisation des mobiles font aujourd’hui l’objet d’une intense exploitation, notamment à des fins de mesure des flux de population. La Cnil vient de lancer un travail d’investigation pour vérifier que ces données, vendues comme anonymisées, ne permettent pas de réidentification.
© @CNIL et Adobe stock
L’analyse des données collectées par les applications mobiles fait partie de la feuille de route de la Cnil pour les deux années à venir. C’est dans ce cadre que le 13 juin 2022, la commission a annoncé avoir téléchargé un échantillon de base de données, "dans les mêmes conditions que n’importe quel potentiel client" auprès d’un grossiste de données. Cette base contient 5 millions de points de géolocalisation horodatés, présentés comme "anonymisés". L’objectif de la Cnil est de "sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles".
Données exploitées par les collectivités
On rappellera que beaucoup d’applications mobiles utilisent la géolocalisation pour calculer un itinéraire ou proposer une information contextuelle au mobinaute. Ces données font l’objet d’un intense commerce via des grossistes de données ou databrokers. Elles sont, entre autres, utilisées par des prestataires pour évaluer la fréquentation de commerces, d’artères commerciales ou de sites touristiques. Des données, vendues comme anonymisées, particulièrement appréciées par les collectivités territoriales, car elles permettent de calculer des flux (origine/destination), les pics de fréquentation et les temps de présence (Voir cette expérience du 19 mai 2020). Elles sont en outre beaucoup plus précises que les données de bornage aux antennes de téléphonie mobile jusqu’alors utilisées, avec une marge d’erreur de quelques mètres.
La réidentification testée par la Cnil
Cependant la Cnil constate qu’il est très "aisé de se procurer des données de géolocalisation de personnes" et s’interroge sur la robustesse de leur anonymisation. Le laboratoire LINC de la Cnil, en charge de l’innovation et de la prospective, a donc décidé d’exploiter un fichier aléatoire pour tenter de réidentifier des personnes. Pour ce faire, la Cnil va utiliser l’identifiant publicitaire associé à chaque smartphone – une donnée personnelle, soumise au RGPD – et sa géolocalisation. Elle s’intéressera plus particulièrement aux 850.000 identifiants comptant au moins dix points de géolocalisation dans la base. Ces données vont ensuite être croisées avec d’autres jeux en open data pour tenter une réidentification comme les agendas de personnalités, la participation des élus aux séances parlementaires, la carte de densité des populations, des données d’annuaire ou encore de sites de manifestation sportive.
Nouvelles règles en perspective ?
Si la Cnil réussit à réidentifier une personne, cette dernière en sera informée. Le databroker pourrait alors se voir poursuivi par la Cnil même si ce projet de 15 mois n’est pas mené dans le cadre de ses missions de contrôle. On peut enfin s’attendre à ce qu’à l’issue de cette mission, l’exploitation des données mobiles à des fins de marketing soit davantage encadrée.
