L’autorité française va analyser un fichier vendu légalement, qui contient des millions de données de géolocalisation afin de voir s’il est possible d’identifier les personnes concernées.
Savoir dans quelle mesure un fichier informatique vendu par un data broker (courtier en données) peut permettre de dévoiler de dévoiler la vie privée des Français. C’est le but de la Commission nationale de l’informatique et des libertés (Cnil), qui a annoncé, le 13 juin, le lancement d’une étude à propos des données de géolocalisation collectées par des applications mobiles. Ayant remarqué qu’il était facile de se procurer ce type d’informations, elle a identifié un fichier contenant de telles données sur une plateforme de vente. Ces dernières « sont présentées comme anonymisées par le revendeur de données », indique l’autorité dans un communiqué.
Pour vérifier cette anonymisation, elle a obtenu un échantillon gratuit de données correspondant à la France après l’avoir demandé dans les mêmes conditions que tout autre client. Concrètement, la Cnil va vérifier si elle est en mesure de réidentifier les personnes, qui seront informées individuellement si tel est le cas. Avec cette étude d’une durée de 15 mois, elle a notamment pour objectif de « sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles ».
Des mesures mises en place pour les données analysées
Le fichier obtenu par la Cnil comporte près de 5 000 0000 identifiants publicitaires de smartphones (Android et iOS), dont environ 850 000 pour lesquels au moins 10 points de localisation sont présents. Ce sont sur ces derniers que l’autorité va effectuer un travail de réidentification. Autrement dit, l’identifiant publicitaire sera uniquement utilisé pour faire le lien entre les points de localisation correspondant à un même smartphone.
Pour tenter de retrouver l’identité des personnes et éventuellement les prévenir, elle va recouper les points de géolocalisation avec d’autres données publiquement accessibles, comme les agendas ouverts des personnalités publiques, des cartes de densité de la France ou encore des sites de manifestations sportives publiques. La Commission précise par ailleurs que le traitement des données d’une personne sera suspendu jusqu’à ce qu’elle soit informée dans le cas où elle a été réidentifiée. Elle indique également avoir pris des « mesures particulières » afin de garantir la confidentialité des informations. Seule l’équipe du Laboratoire d’innovation numérique de la Cnil en charge de l’étude y aura accès.
Enfin, bien que cette étude ne soit pas liée à une procédure de contrôle ou de sanction, l’autorité explique qu’elle s’inscrit dans l’une des thématiques prioritaires de contrôle de 2022. Elle prévoit en effet de vérifier la conformité des professionnels du secteur de la prospection commerciale au règlement général sur la protection des données personnelles (RGPD) cette année. Dans ce cadre, elle va surtout vérifier que les pratiques de ceux procédant à revente de données, dont les data brokers, sont conformes au règlement.
