La Commission nationale de l’informatique et des libertés (CNIL) a dévoilé, le 13 juin, le lancement d’une étude sur les données de géolocalisation collectées par des applications mobiles. Cette enquête a pour but de sensibiliser aux enjeux autour des données personnelles. Elle fait suite au plan stratégique de la commission pour 2022-2024.

La CNIL veut sensibiliser à la collecte de données

La sensibilisation aux enjeux liés à la collecte et l’utilisation des données personnelles sont un défi majeur pour la CNIL. C’est dans ce contexte et dans le cadre de sa feuille de route, révélée quelques mois auparavant, que s’inscrit sa prochaine étude.

La commission a identifié une plateforme mettant en relation les vendeurs et les acheteurs de données, qui offre des échantillons gratuits auprès de courtiers de données. Pour son investigation, elle a récupéré un extrait de ces données correspondant à la France. Grâce à lui, la commission va analyser ces données personnelles, présentées par le revendeur comme entièrement anonymisées.

Son objectif est de vérifier si, sur la base de ce jeu de données, elle peut identifier à qui les données appartiennent. Si l'examen est positif, elle se chargera d’informer individuellement les personnes concernées à titre préventif. L’étude devrait durer 15 mois.

Identifiant publicitaire et géolocalisation

L’échantillon récupéré par la CNIL comporte des données de géolocalisation horodatées avec des points de localisation associés à près de 5 000 000 d’identifiants publicitaires de smartphones. Ces informations ont été collectées sur une période d’environ une semaine en 2021.

Un identifiant publicitaire permet aux annonceurs de reconnaître un smartphone au travers d'une chaîne de caractères uniques. À l’aide de cette donnée, les marques peuvent proposer aux utilisateurs de la publicité ciblée en se basant sur la localisation du téléphone et sur les données obtenues à partir d’autres applications installées. Ainsi, un annonceur pourra proposer des publicités correspondant aux endroits visités. La CNIL alerte à ce sujet, « plus cet identifiant est stable dans le temps, plus il permet d'accumuler des informations sur les habitudes des propriétaires de smartphones. Il est donc conseillé de renouveler régulièrement cet identifiant ».

La commission précise que « dans cette étude, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. La valeur de l’identifiant ne sera pas associée à d’autres données comme pourrait le faire un acteur de la publicité ». Le travail d’identification se concentrera sur les identifiants publicitaires comportant au moins dix points de localisation, environ 850 000 identifiants différents sont concernés.

En plus des données de l’échantillon, la CNIL compte étudier celles publiquement accessibles comme les agendas ouverts de personnalités publiques, les données de participation aux séances parlementaires, des cartes de densité de la France, des données provenant de l’annuaire universel et des sites de manifestations sportives publiques. Aucune d’entre elles ne sera conservée par la commission après l’étude.

Si cette enquête ne fait pas office de procédure de contrôle ou de sanction, la CNIL « vérifiera la conformité au RGPD des professionnels du secteur [de la prospection commerciale], en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème ».