Jeffrey Burrill, secrétaire général de la Conférence des évêques catholiques des États-Unis (USCCB), a été évincé de sa fonction après que ses données privées (et normalement anonymes) aient été rendues publiques, rapportent nos confrères d’Ars Technica ce 21 juillet 2021. Celles-ci révélaient des détails sensibles de sa vie privée, et notamment le fait que l’homme était un utilisateur régulier de Grindr, une application de rencontres destinée aux hommes gays.

Les données privées de Grindr ont conduit à la démission de l’évêque

Comme tout évêque au sein du clergé de l’Église catholique, Jeffrey Burrill était tenu de respecter le célibat sacerdotal. Plus simplement, cela signifie qu’il lui était interdit de se marier et d’avoir des rapports sexuels. The Pilliar, un média catholique américain, a néanmoins découvert que ce dernier avait visité plusieurs bars gays entre 2018 et 2020, et qu’il était également un usager actif de Grindr.

Ces découvertes ont été faites grâce aux données de géolocalisation que collecte l’application de rencontres. Normalement anonymes, ces informations sont souvent revendues par les opérateurs mobiles à des courtiers en données qui les utilisent ensuite à des fins publicitaires, aux forces de l’ordre, aux services routiers, et même à des chasseurs de primes. The Pillar n’a pas révélé comment il y avait eu accès, mais précise les avoir obtenues de façon légale.

Si ces données ne permettent pas, en théorie, d’obtenir des informations directes sur l’identité des utilisateurs, elles classent néanmoins ces derniers au travers d’un identifiant unique associé à chaque smartphone. Alors, en retraçant une adresse régulièrement fréquentée, comme un lieu de domicile ou un lieu de travail, il devient possible de découvrir l’identité d’une personne, et de découvrir quels ont été ses déplacements.

C’est ainsi que le média catholique a pu découvrir la vie cachée de Jeffrey Burrill. L’identifiant unique qui lui a été assigné a permis au média catholique de se suivre ses déplacements dans sa résidence principale, dans ses bureaux, dans sa maison de vacances familiale, dans des bars gays, et même dans les résidences de membres de sa famille, ainsi que dans un appartement de sa ville natale.

Face à la révélation de cette affaire, l’homme a été poussé à présenter sa démission. Dans un communiqué, la conférence des évêques catholiques des Etats-Unis a expliqué avoir « appris l’existence d’informations de presse en attente de publication, présumant un possible comportement indécent de son secrétaire général, Monseigneur Jeffrey Burrill. Afin d’éviter que cela détourne l’attention des opérations et du travail de la conférence, Mgr Burrill a démissionné avec effet immédiat ».

De son côté, Grindr a réagi à la nouvelle en affirmant avoir arrêté de fournir des informations sur la localisation, l’âge et le sexe de ses utilisateurs au mois d’avril 2020.

Des informations privées loin d’être réellement anonymes

S’il s’agit ici de la première affaire où les activités en ligne d’une personnalité publique sont révélées par des données agrégées, « cela arrive malheureusement très souvent » au grand public, a déclaré Andrés Arrieta, directeur de l’ingénierie de la vie privée des consommateurs à l’Electronic Frontier Foundation.

« Il y a des entreprises qui capitalisent sur la découverte de la vraie personne derrière les identifiants publicitaires », explique-t-il. En outre, désanonymiser les données de la manière dont The Pillar l’a fait est un jeu d’enfant aux États-Unis, où aucune protection du type RGPD n’est mise en place. Selon Andrés Arrieta, tout ce qu’il y a faire pour acheter ce type de données, c’est de prétendre être une entreprise. Aucune compétence technique particulière ne serait requise pour les passer au crible.

Au-delà de la vie privée, ces données peuvent également porter atteinte à la sécurité des utilisateurs. Dans le cas de Jeffrey Burrill, cela lui a coûté son travail. Dans d’autres circonstances, l’affaire aurait pu lui coûter la vie, comme l’explique Andrés Arrieta : « Lorsque vous servez une population marginalisée dont la vie est littéralement en danger dans de nombreuses régions du monde, ou dont l’emploi est en danger même aux États-Unis, vous devez avoir des normes très élevées en matière de confidentialité et de sécurité ». Ce n’était manifestement pas le cas de Grindr.