La Cnil va tenter d'identifier les personnes concernées par un fichier de données anonymisées de géolocalisation mis en vente, en recoupant diverses informations, comme les agendas ouverts.
La Cnil, gendarme de la vie privée des Français, va analyser un fichier informatique vendu par un courtier de données personnelles pour tenter d'évaluer dans quelle mesure ce type de fichier peut permettre de dévoiler nos vies privées. Dans le cadre de sa « mission d'intérêt public » et en dehors pour le moment de toute procédure de contrôle et de sanction, elle a identifié sur une plateforme de vente un fichier de données de géolocalisation de personnes, « présentées comme anonymisées par le revendeur », explique-t-elle dans un communiqué.
Pour vérifier cette anonymisation, la Cnil a endossé le costume d'un client mystère et obtenu gratuitement un « échantillon » des données correspondant à la France, qui comporte quelques 5 millions d'identifiants publicitaires de smartphones (Android et iOS) dont 850 000 pour lesquels au moins 10 points de localisation sont présents. Elle va désormais tâcher de retrouver l'identité des personnes concernées, personnalités publiques ou simples quidams, et le cas échéant les prévenir de l'existence de ces données.
Lire aussi : Google et Facebook épinglés par la Cnil
Pour cela, elle recoupera notamment les points de géolocalisation avec les agendas ouverts de personnalités publiques et les données de participation aux séances parlementaires, mais utilisera aussi « les sites de manifestations sportives », l'annuaire ou « des cartes de densité de la France » afin de cibler les personnes localisées dans des lieux isolés, a-t-elle précisé. Les données traitées seront supprimées à l'issue du projet, qui doit durer 15 mois, explique le communiqué.
Des études théoriques ont déjà prouvé que la géolocalisation pouvait être utilisée pour réidentifier un jeu de données anonymisées, grâce aux habitudes de déplacement des personnes, mais la Cnil souhaite démontrer que cela est applicable en pratique sur un jeu de données disponibles facilement en ligne, en l'espèce à partir de 5 000 dollars, a précisé à l'AFP Vincent Toubiana, responsable du laboratoire d'innovation du régulateur. Des données de localisation non anonymisées seraient soumises au RGPD, le règlement général sur la protection des données.
Lire aussi : Les sanctions de la Cnil en hausse
En 2019, une enquête du New York Times à partir d'un fichier gigantesque de plus de 50 milliards de données issu d'une société spécialisée dans la collecte d'informations à partir des applications mobiles avait révélé la localisation précise de plus de 12 millions d'Américains à travers les grandes villes du pays.
En forte croissance, le marché mondial de la collecte et revente de données personnelles était estimé à plus de 240 milliards de dollars en 2020, selon des sources concordantes.