La CNIL lance une étude sur les données de géolocalisation collectées par des applications mobiles
Comme annoncé dans son plan stratégique 2022-2024, la CNIL souhaite rendre visibles les flux de données des applications mobiles. Parmi les actions qui seront menées pour illustrer les enjeux liés à nos usages, la CNIL va réaliser une étude sur la base d’un jeu de données de géolocalisation obtenu auprès d’un data broker (courtier de données).
Quel est l’objectif de cette étude ?
Dans le cadre de sa veille technologique, la CNIL a observé qu’il était aisé de se procurer des données de géolocalisation de personnes.
Elle a ainsi identifié une plateforme mettant en relation vendeurs et acheteurs de données et permettant d'obtenir des échantillons gratuits auprès de data brokers (courtiers de données). Elle a alors demandé, dans les mêmes conditions que n’importe quel potentiel client, à avoir communication d’un échantillon de données correspondant à la France. Les données transmises sont présentées comme anonymisées par le revendeur de données.
Après une rapide analyse, la CNIL considère qu’au moins une partie de ces données est authentique. Elle vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci.
Le principal objectif est, ainsi, de sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles.
Quelles données sont concernées ?
Le jeu de données concerné est un fichier comportant des données de géolocalisation horodatées avec des points de localisation associés à près de 5 000 000 d’identifiants publicitaires de smartphones (Android et iOS) sur une période d'environ une semaine en 2021. Les analyses préliminaires effectuées n’ont pas permis d’établir l’authenticité des identifiants publicitaires fournis dans le jeu de données.
L’identifiant publicitaire
Il s’agit d’une chaine de caractères associée à un unique smartphone et permettant à des annonceurs de le reconnaître pour lui adresser de la publicité. Comme son nom l’indique, cette donnée est identifiante : il s’agit donc d’une donnée personnelle. Un acteur disposant de deux sources de données présentant le même identifiant publicitaire est en mesure de relier les informations et de construire un profil plus complet de la personne à laquelle l’identifiant est associé. Ainsi, un courtier de données pourra relier les données d’utilisations collectées à partir de différentes applications installées sur un même smartphone. Plus cet identifiant est stable dans le temps, plus il permet d’accumuler des informations sur les habitudes des propriétaires de smartphones. Il est donc conseillé de renouveler régulièrement cet identifiant.
Dans cette étude, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. La CNIL n'utilisera pas la valeur de l’identifiant pour l’associer à d’autres données (par exemple des données d’utilisation d’applications mobiles) comme pourrait le faire un acteur de la publicité. Le travail de réidentification sera effectué sur les identifiants publicitaires pour lesquels au moins dix points de localisation sont présents. Cela représente environ 850 000 identifiants publicitaires différents.
En plus des données contenues dans le fichier envoyé par le revendeur de données, des données publiquement accessibles seront traitées, telles que :
- les agendas ouverts de personnalités publiques ;
- les données de participation aux séances parlementaires ;
- des cartes de densité de la France ;
- des données provenant de l’annuaire universel ;
- des sites de manifestations sportives publiques.
Comment les droits des personnes sont-ils respectés ?
Dans l’éventualité où des personnes seraient réidentifiées, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées.
Si vous souhaitez plus d’informations sur ce traitement ou si vous souhaitez exercer vos droits, vous pouvez contacter ip[at]cnil.fr ou adresser un courrier à la CNIL à l’attention du service LINC.
Comment ce projet est-il encadré ?
Ce projet relève de la mission d’intérêt public dont est investie la CNIL en application du règlement général sur la protection des données et de la loi Informatique et Libertés modifiée. Il s’inscrit dans la mission d’information de la CNIL telle que définie dans l’article 8.I.1 de la loi Informatique et Libertés mais également dans la mission de suivi de l’évolution des technologies de l’information telle que définie dans l’article 8.I.4.
Des mesures particulières ont été prises pour assurer la confidentialité des données, auxquelles ne pourront accéder que l’équipe du Laboratoire d’innovation numérique de la CNIL (LINC) en charge de cette étude.
Combien de temps durera cette étude ?
Ce projet durera 15 mois à l’issue desquels les données seront supprimées. Comme pour l’étude CabAnon menée en 2017, ce projet donnera lieu à plusieurs publications sur le site du LINC.
La CNIL pourra-elle déclencher une action répressive si les pratiques ne sont pas conformes ?
Si cette étude n’est pas liée à une procédure de contrôle ou de sanction, elle s’inscrit néanmoins dans l’une des thématiques prioritaires de contrôles puisqu’en 2022 la CNIL « vérifiera la conformité au RGPD des professionnels du secteur [de la prospection commerciale], en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers) ».
L’innovation : une des grandes missions de la CNIL
Dans le cadre de son activité d’innovation et de prospective, la CNIL s’intéresse aux signaux faibles et aux sujets émergents. Elle participe ainsi aux débats de société sur les enjeux éthiques des données. Elle constitue également un point de contact et de dialogue avec les écosystèmes d’innovation du numérique (chercheurs, start-up, labs).
Enfin, elle contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les entreprises le plus en amont possible, dans une logique de privacy by design.
En savoir plus sur la mission d’anticipation et d’innovation de la CNIL