enquête

"TrackingFiles" : comment la vie privée de militaires, de diplomates et du personnel politique français est exposée par les données de géolocalisation

Brice Le Borgne, Laetitia Commanay, L'Oeil du 20 heures

Publié le 05/03/202 06:00

En collaboration avec "L'Œil du 20 heures", franceinfo a enquêté sur des données de géolocalisation de millions de téléphones en France, permettant d'identifier la vie privée de salariés de l'armée, de la DGSE, de lieux de pouvoir ou d'autres sites sensibles.

"Comment avez-vous eu à accès à mes données ? Vous êtes autorisés à voir où les gens se déplacent ?" Xavier* est tendu : nous venons de le contacter pour lui demander si c'était bien son téléphone derrière les points GPS s'affichant sur notre carte. Un jeudi, à 10h57 dans un Auchan dans la Drôme. A 11h25, de retour à son domicile. A 16h22, à la boulangerie de son village. Le lendemain matin, le téléphone de Xavier quitte sa maison, dans un lotissement, à 5h46 en direction de son travail : la centrale nucléaire de Cruas (Ardèche).

Avant même d'appeler Xavier, nous connaissions tous ses déplacements entre son lieu de résidence et les différentes centrales nucléaires où il travaille. Dans le cadre d'une enquête appelée "TrackingFiles", en collaboration avec "L'Œil du 20 heures" de France 2, franceinfo a épluché des millions de données de géolocalisation, enregistrées par des téléphones. L'échantillon auquel nous avons eu accès permet de suivre les déplacements de 11,7 millions de téléphones en France, théoriquement durant deux semaines en janvier 2025 (voir la note technique à la fin de cet article).

Centrales nucléaires, bases militaires, ministères, etc. La facilité avec laquelle il est possible d'identifier le domicile et les habitudes d'employés de ces sites sensibles donne le vertige. Elle révèle surtout des failles de sécurité insoupçonnées.

Des données collectées et revendues en masse

La collecte de ces données est une vaste industrie qui n'a rien de nouveau. Les points GPS de nos téléphones sont collectés via les applications de météo, de sport, de petites annonces, de jeux, aux conditions d'utilisation parfois floues. Ces informations passent ensuite par des régies publicitaires ou des modules techniques directement installés dans ces applications. Toutes se retrouvent centralisées par des data brokers, des courtiers de données qui les revendent à des fins commerciales. Ils permettent ainsi aux marques d'envoyer des publicités sur des téléphones ayant fréquenté un endroit précis.

Contacté par "L'Œil du 20 heures", un data broker propose un échantillon commercial gratuit, promettant plus d'un milliard de points GPS au mètre et à la minute près, à travers tout le pays. Pour avoir les données complètes et actualisées, il ne faut débourser que quelques milliers d'euros chaque mois. "Le risque, c'est que ces données puissent être désanonymisées et permettent de cibler les déplacements et habitudes de personnes potentiellement sensibles, avec certaines responsabilités", souligne auprès de franceinfo Baptiste Robert, entrepreneur spécialisé dans la cybersécurité. En janvier, ce hacker éthique a détaillé sur X une fuite de données d'un broker similaire, Gravy Analytics. 

Le domicile de militaires ou d'agents de la DGSE identifié

De fait, à partir de ces données censées être anonymes et d'informations disponibles en ligne, franceinfo a été en mesure de lever le voile sur la vie privée de Français fréquentant des sites hautement sécurisés. Il a été possible d'identifier les bâtiments où ils travaillent, leur domicile, ceux de leurs proches, les trajets habituels, les commerces ou restaurants de prédilection, les escapades le week-end... Autant de renseignements qui soulèvent des questions relatives à la sécurité nationale. 

Téléphones localisés sur des sites militaires

Cliquez sur les différents lieux pour afficher les téléphones qui y sont localisés. Chaque couleur correspond à un téléphone différent.

Base aérienne de Villacoublay Base de l'Ile Longue Fort de Noisy (DGSE) Centre d'entraînement de Mailly-le-Camp

198 téléphones localisés

6269 points GPS

47 téléphones localisés

830 points GPS

749 téléphones localisés

8563 points GPS

161 téléphones localisés

7030 points GPS

Sources: échantillon de données de géolocalisation obtenu par "L'Œil du 20 heures", OpenStreetMap

Sur la base aérienne de Villacoublay (Yvelines), près de 200 téléphones sont référencés. Parmi ceux possédant le plus de points dans l'enceinte de la base, nous identifions en quelques minutes une personne habitant à Versailles, faisant ses courses au supermarché d'une commune voisine et fréquentant une salle de sport d'une ville proche. A lui seul, cet utilisateur comptabilise près de 7 000 points GPS.

Dans la rade de Brest (Finistère), la base très sensible de l'île Longue, qui abrite les sous-marins nucléaires français, ne fait pas exception. D'après nos données, près de 50 téléphones y ont borné au moins une fois en janvier. On peut suivre ainsi une personne quitter son domicile brestois, effectuer ses trajets quotidiens par bateau jusqu'à la base, sans oublier ses déplacements sur les quais où les sous-marins s'amarrent, et même lors de ses congés en Ile-de-France.

Dans l'Aube, le centre d'entraînement militaire de Mailly-le-Camp est l'un des plus grands de France. Vaste comme Paris, il accueille régulièrement des exercices des armées françaises, notamment pour des préparations d'opérations extérieures. On y recense plus de 7 000 points GPS, non seulement dans la zone logistique et résidentielle du camp, mais aussi sur l'espace d'entraînement. Franceinfo a ainsi localisé Philippe*, un cadre du camp. Là encore, le tracé dessiné par son téléphone permet de remonter jusqu'à son domicile, et même de connaître ses habitudes et d'identifier son entourage. "Je suis avec mon portable tout le temps. Un ou deux collègues viennent chez moi de temps en temps", confirme l'intéressé à franceinfo, sans se montrer inquiet. "Moi, j'ai rien de bien secret à dévoiler, je suis un simple ingénieur de la défense."

Mais c'est parfois une autre affaire. Au sein de la direction générale de la sécurité extérieure (DGSE), le service Action est l'une des unités militaires les plus secrètes de France. Pourtant, franceinfo a pu récolter des dizaines de points de géolocalisation au sein de son quartier général, situé au fort de Noisy (Seine-Saint-Denis). Ils mènent jusqu'au centre d'entraînement de la DGSE, à Cercottes (Loiret). Comme le révèle "L'Œil du 20 heures" dans une enquête diffusée mercredi, il est là aussi possible d'identifier le domicile de personnes travaillant sur la base. Contactée par France 2, la DGSE n'a pas voulu commenter cette faille, mais précise qu'il s'agit "de choses qui sont effectivement connues". La France n'est pas le seul pays concerné. Ainsi, en juillet 2024, des journalistes du média audiovisuel bavarois Bayerischer Rundfunk avaient de la même manière identifié et localisé des membres du service du renseignement extérieur allemand. 

L'activité à l'Elysée et au Sénat retracée

Le monde politique ne semble pas davantage protégé contre cette brèche de sécurité, à commencer par le plus symbolique des sites : l'Elysée. Dans notre échantillon, plus de 360 téléphones y sont présents au moins une fois, dessinant 2 600 points au total. Nous avons identifié l'un d'entre eux, qui y borne régulièrement. Son propriétaire se déplace souvent : ce lundi-là, il reste toute la matinée dans une préfecture du sud de la France. Le lendemain, le voilà de retour à Paris. Il est dans un ministère du 7e arrondissement à 14h36. Le mercredi après-midi, il passe vingt minutes dans une ambassade. Là encore, on obtient rapidement une adresse personnelle précise, dans le Val-de-Marne.

Téléphones localisés dans des lieux de pouvoir

Cliquez sur les différents lieux pour afficher les téléphones qui y sont localisés. Chaque couleur correspond à un téléphone différent.

Elysée Matignon Ministère de l'Intérieur Ministère de l'Economie et des Finances Ministère des Affaires étrangères Assemblée nationale Sénat

366 téléphones localisés

2682 points GPS

68 téléphones localisés

2506 points GPS

395 téléphones localisés

4597 points GPS

469 téléphones localisés

6538 points GPS

440 téléphones localisés

5368 points GPS

515 téléphones localisés

3409 points GPS

501 téléphones localisés

3624 points GPS

Sources: échantillon de données de géolocalisation obtenu par "L'Œil du 20 heures", OpenStreetMap

Un autre identifiant apparaît à de nombreuses reprises sur la carte de l'Elysée, et ce, pendant cinq jours d'affilée. D'après les informations obtenues en ligne et qui permettent de localiser son domicile, au sud de Paris, il pourrait s'agir d'un diplomate représentant la France auprès d'un pays stratégique. Contacté par franceinfo pour le vérifier, il n'a pas souhaité répondre à nos questions. La facilité avec laquelle il est possible d'identifier une personnalité sensible étonne, sans compter les possibilités de nuisance ou d'influence de la part de personnes malveillantes.

Le même schéma se répète, quel que soit le lieu politique. Du ministère de l'Intérieur aux Affaires étrangères, en passant par l'Economie et les Finances, on dénombre au total un peu plus de 28 700 points GPS sur l'ensemble des lieux de pouvoir étudiés par franceinfo, enregistrés par 2 588 appareils. Au Sénat, nous avons pu identifier le téléphone d'un agent en charge de la sécurité de l'institution, et suivre ses déplacements entre le palais du Luxembourg, son domicile dans une ville située à l'est de Paris, un supermarché de la commune voisine et le McDonald's d'à côté. Contacté par franceinfo, il n'a pas donné suite à nos demandes.

Ces exemples ne sont qu'une goutte d'eau dans les dizaines de millions de téléphones dont le suivi est rendu possible par ces données. Préfectures, commissariats, aéroports font partie des autres lieux sensibles, pour lesquels il est possible d'accéder plutôt facilement à des informations et sans les autorisations communément requises. S'il est difficile de savoir si des organisations privées ou publiques utilisent ces données à des fins de renseignement, elles restent une brèche dans l'intimité de millions de Français. En octobre 2024, le site américain 404 Media a révélé qu'un outil basé sur de telles informations permettait aux forces de l'ordre de suivre des citoyens se rendant dans certains lieux de culte ou des cliniques d'avortement. 

*Les prénoms, dates et noms de lieux ont été modifiés ou simplifiés afin de protéger l'anonymat et la vie privée des personnes interrogées. 

Note technique

Contrairement à d'autres échantillons de données, celui obtenu par "L'Œil du 20 heures" ne précisait pas les applications par lesquelles était collectée la géolocalisation des téléphones. Une enquête du quotidien Le Monde, analysant d'autres données, pointait la grande récurrence d'applications comme Le Bon Coin, Vinted ou des services de météo. Par ailleurs, nous avons constaté des incohérences de dates dans les données transmises gratuitement par le data broker, ce qui ne nous permet pas de confirmer la temporalité des données.

Si vous souhaitez limiter le risque d'exposition de votre téléphone, afin d'éviter qu'il se retrouve dans ces données, vous pouvez désactiver la géolocalisation, prêter attention aux autorisations auxquelles vous consentez en installant une application, et réduire les autorisations de pistage de votre téléphone. Voici la procédure : 

• sur iOS : "Réglages" > "Confidentialité et sécurité" > "Suivi" > Décocher "Autorisation du suivi par les apps"
• sur Android : "Réglages" > "Confidentialité" > "Publicités" > "Supprimer l'identifiant publicitaire"