La CNIL lance une étude sur les données de géolocalisation collectées par des applications mobiles

Comme annoncé dans son plan stratégique 2022-2024, la CNIL souhaite rendre visibles les flux de données des applications mobiles. Parmi les actions qui seront menées pour illustrer les enjeux liés à nos usages, la CNIL va réaliser une étude sur la base d’un jeu de données de géolocalisation obtenu auprès d’un data broker (courtier de données).

Quel est l’objectif de cette étude ?

Dans le cadre de sa veille technologique, la CNIL a observé qu’il était aisé de se procurer des données de géolocalisation de personnes.

Elle a ainsi identifié une plateforme mettant en relation vendeurs et acheteurs de données et permettant d'obtenir des échantillons gratuits auprès de data brokers (courtiers de données). Elle a alors demandé, dans les mêmes conditions que n’importe quel potentiel client, à avoir communication d’un échantillon de données correspondant à la France. Les données transmises sont présentées comme anonymisées par le revendeur de données.

Après une rapide analyse, la CNIL considère qu’au moins une partie de ces données est authentique. Elle vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci.

Le principal objectif est, ainsi, de sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles.

Quelles données sont concernées ?

Le jeu de données concerné est un fichier comportant des données de géolocalisation horodatées avec des points de localisation associés à près de 5 000 000 d’identifiants publicitaires de smartphones (Android et iOS) sur une période d'environ une semaine en 2021. Les analyses préliminaires effectuées n’ont pas permis d’établir l’authenticité des identifiants publicitaires fournis dans le jeu de données.

Dans cette étude, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. La CNIL n'utilisera pas la valeur de l’identifiant pour l’associer à d’autres données (par exemple des données d’utilisation d’applications mobiles) comme pourrait le faire un acteur de la publicité. Le travail de réidentification sera effectué sur les identifiants publicitaires pour lesquels au moins dix points de localisation sont présents. Cela représente environ 850 000 identifiants publicitaires différents.

En plus des données contenues dans le fichier envoyé par le revendeur de données, des données publiquement accessibles seront traitées, telles que :

  • les agendas ouverts de personnalités publiques ;
  • les données de participation aux séances parlementaires ;
  • des cartes de densité de la France ;
  • des données provenant de l’annuaire universel ;
  • des sites de manifestations sportives publiques.

Comment ce projet est-il encadré ?

Ce projet relève de la mission d’intérêt public dont est investie la CNIL en application du règlement général sur la protection des données et de la loi Informatique et Libertés modifiée. Il s’inscrit dans la mission d’information de la CNIL telle que définie dans l’article 8.I.1 de la loi Informatique et Libertés mais également dans la mission de suivi de l’évolution des technologies de l’information telle que définie dans l’article 8.I.4.

Plus d'infos : https://www.cnil.fr/fr/la-cnil-lance-une-etude-sur-les-donnees-de-geolocalisation-collectees-par-des-applications-mobiles

Fabrice MOLINARO