: Enquête "TrackingFiles" : quand les données de géolocalisation de dizaines de millions de Français se retrouvent en vente

Souvent pratiques, parfois addictives, des applications utilisées par des millions de Français se révèlent être des aspirateurs à données personnelles, dont la géolocalisation. Elles circulent ensuite dans d'autres mains. Comme le montre le reportage diffusé sur France 2 mardi 4 mars, "L'Œil du 20 heures", en collaboration avec franceinfo, est ainsi parvenu à récupérer facilement un fichier retraçant les déplacements de plusieurs millions de téléphones en France.

Chaque portable possède un identifiant publicitaire unique, appelé "advertising ID". Lorsqu'on ouvre une application, s'il y a un emplacement pour une publicité, une notification est envoyée à une sorte de salle d'enchères virtuelle, dans laquelle se trouvent des régies publicitaires. En un clin d'œil, le plus offrant affiche une publicité dans l'application. Mais dans cette transaction de quelques millisecondes, l'utilisateur laisse des traces.

Quelques clics avant de rencontrer un vendeur

Ainsi, l'identifiant publicitaire est envoyé aux régies publicitaires, ainsi que la localisation du téléphone. Ces données sont ensuite rachetées par des data brokers, des courtiers spécialisés dans les données personnelles, pour les revendre, par exemple à des fins marketing. Parfois, ce sont aussi les applications elles-mêmes qui les revendent, après avoir récolté des données sur leurs utilisateurs.

Les data brokers sont souvent implantés aux Etats-Unis ou à Singapour. En quelques clics, "L'Œil du 20 heures" se fait passer pour une entreprise de marketing fictive, baptisée "Hoodhood". Rendez-vous est pris en visioconférence le soir-même. De l'autre côté de l'Atlantique, derrière son ordinateur, un Américain aux cheveux gris allume sa caméra. Après une brève présentation pour dissiper les doutes sur la société fictive, le courtier semble en confiance : "Laissez-moi regarder ce que j'ai pour la France. Vingt-cinq millions de téléphones portables. C'est beaucoup de données !" Face aux questions sur la légalité, il se veut rassurant : "Nous respectons la législation européenne, plein d'entreprises utilisent nos données pour des campagnes d'affichage dans la rue, ou de la publicité ciblée."

Suivre des dizaines de millions de Français a un prix. "Cela vous coûterait entre 7 500 et 10 000 dollars par mois d'avoir ces données, c'est le prix en ce moment pour les données françaises. Vous êtes une petite boîte, donc on vous fait un bon prix", explique le revendeur. Un concurrent du courtier se montre encore plus direct. Au bout de 15 minutes d'un rendez-vous à distance, il nous propose un échantillon gratuit de données. Une semaine plus tard, ces centaines de fichiers tombent dans les mails de notre entreprise fictive.

Des données absolument pas anonymes

Ils concernent près de 12 millions de téléphones et plus d'un milliard de points GPS. La France entière est couverte par ces données. Elles sont en théorie anonymes, car uniquement liées à l'identifiant publicitaire. Pourtant, il est aisé de recouper les centaines de points pour retrouver des informations, permettant de savoir à qui appartient le téléphone.

Dans les données auxquelles nous avons eu accès, et qui constituent la base de cette enquête "Tracking Files" en collaboration avec franceinfo, près de 400 téléphones bornent dans le bâtiment de France Télévisions à Paris. Les positions GPS couvrent ensuite toute la capitale, suivent des axes routiers ou de trains, partent dans le sud de la France ou vers des frontières. Derrière ces données, se trouvent probablement des salariés du groupe, des invités ou des visiteurs.

L'équipe de "L'Œil du 20 heures" s'est concentrée sur un appareil pris dans cette masse. Une fois tous les points GPS isolés, il reste des allers-retours hors de la région parisienne, des passages fréquents gare du Nord, mais aussi dans la banlieue ouest de Paris. Un domicile ressort également de manière claire sur la carte. Quelques recherches suffisent pour retrouver un nom de famille et l'identité de la propriétaire du téléphone. Sans l'avoir jamais rencontrée, "L'Œil du 20 heures" sait maintenant presque tout des habitudes de déplacements de Maelys, qui travaille au deuxième étage du bâtiment. Devant la carte, elle affiche sa surprise : "J'ai de la famille à cet endroit-là, et ici, c'est mon domicile. C'est hyper précis, on voit vraiment l'adresse exacte. C'est un peu stressant en fait." Maelys joue à des jeux en ligne dans les transports. Ce sont leurs publicités qui sont sans doute en cause.

Un cadre légal contourné

En France, la Commission nationale de l'informatique et des libertés (Cnil), chargée de faire respecter les règles en la matière, connaît bien de telles données. A l'été 2022, son laboratoire d'innovation s'est procuré un fichier contenant 100 millions de points GPS, par le biais d'un data broker. Quinze mois plus tard, le résultat confirme les conclusions de "L'Œil du 20 heures" : l'étude a prouvé "qu'une réidentification quasi automatique d'individus peut être réalisée à partir de données récupérées chez des courtiers en données, sans aucune contrainte ou vérification".

Trois ans ont passé depuis, et il est toujours possible de récupérer ce type de données et de les désanonymiser. La réglementation est pourtant claire, d'après la cheffe du service des affaires économiques de la commission, Nacera Bekhat : "En Europe, on a un cadre qui est assez strict pour protéger les citoyens. Il interdit aux entreprises de collecter ces données et de les revendre sans en informer les gens et recueillir leur accord. Et ce cadre-là permet de sanctionner très lourdement ces entreprises. On peut aller jusqu'à 4% de leur chiffre d'affaires."

En 2023, l'éditeur français de jeu mobile Voodoo a été condamné à trois millions d'euros d'amende par la Cnil pour ne pas avoir prévenu ses utilisateurs qu'ils étaient tracés. Le Conseil d'Etat a confirmé en mai dernier cette décision. En 2024, les jeux de Voodoo avaient été téléchargés plus de 7 milliards de fois, selon l'entreprise.

Nacera Bekhat concède néanmoins que certaines applications jouent avec le consentement des utilisateurs. "Parfois, les interfaces sont faites de telle sorte que les utilisateurs acceptent sans vraiment comprendre à quoi ils consentent. Ça peut être tout à fait intentionnel de leur part, ça peut aussi parfois être dû à des mauvaises configurations." La Cnil doit lancer au printemps de nouvelles opérations de contrôle. Les applications qui contournent les règles pourraient être sanctionnées.